• בלוג
  • עדכון ל-Apache Avro סוגר פרצה המאפשרת מתקפת RCE

עדכון ל-Apache Avro סוגר פרצה המאפשרת מתקפת RCE

    עדכון ל-Apache Avro סוגר פרצה המאפשרת מתקפת RCE

    פורסם ב 15-10-2024

    information-security

    מפתחי פרוייקט Apache Avro, כלי פופולרי בקוד פתוח לביצוע סריאליזציה, חושפים כי נמצאה פרצה חמורה המאפשרת הוצאה לפועל של קוד מרחוק (RCE) כתוצאה משימוש בכלי.

    הפרצה, שתוייגה כ-CVE-2024-47561, נמצאת בכל הגירסאות של Apache Avro החל מגירסה 1.11.3 וקודמותיה. דירוגה בסולם CVSSv3 הוא 9.3 מתוך 10 – רמת סיכון קריטית. היא התגלתה על ידי קוסטיה קורטצ’ינסקי (Kostya Kortchinsky) מצוות אבטחת המידע של Databricks.

    איך הפרצה ב-Apache Avro עובדת?

    הפרצה גלומה בתהליך הניתוח (parsing) של סכמות דה-סריאליזציה. בתהליך הניתוח, לא מתבצעת בדיקה אם הנתונים אכן בטוחים. כפועל יוצא מזה, תוקף זדוני יכול להחדיר לנתונים שעוברים דה-סריאליזציה (כאשר הם עוד מאוכסנים כביטים, או במהלך התהליך עצמו) נתונים שונים. לנתונים אלה יש פוטנציאל להפוך את האובייקטים לבעלי רכיבים שיאפשרו מתקפות שונות או פקודות שיכולות להזיק למערכת (כלומר, מתקפת RCE).
    ככל הנראה, הפרצה משפיעה על נתונים של רכיבי Java, שלא יכולים לעבור בדיקת אמון דרך DataReflect ו-SpecificData.

    מי שלא יכול לעדכן את המערכת שלו כרגע, יכול לנקוט בצעדים הבאים:
    1. לא לבצע עיבוד וניתוח (parsing) לסכמות שמסופקות על ידי משתמשים במערכת.
    2. להעביר סכמות תהליך של סטריליזציה וטיהור לפני שמבצעים להן עיבוד וניתוח.
    נקיטה בצעדים אלה מומלצת גם אחרי העדכון.

    עדכון: דירוג הפרצה בסולם CVSSv3 ירד ל-7.3 מתוך 10 – כלומר, רמת סיכון גבוהה “בלבד”. עם זאת, אנו עדיין ממליצים למשתמשים ב-Apache Avro לבצע עדכון מהר ככל האפשר.

    השותפים שלנו

    • js-partners-02
    • js-partners-03
    • js-partners-04
    • js-partners-06
    • mariadb-icon
    • docker-icon
    • nodejs
    Skip to content