ГлавнаяБаза уязвимостей БДУ → BDU:2024-07817
7.5высокая

BDU:2024-07817

Уязвимость библиотеки сериализации данных Apache Avro связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированной схемы данных
Опубликовано: 2024-10-07
Описание

Уязвимость библиотеки сериализации данных Apache Avro связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированной схемы данных

Затрагиваемое ПО и версии
Avro (до 1.11.4)Avro (до 1.12.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение возможности анализа пользовательских схем, полученных из недоверенных источников;
- выполнение очистки пользовательских схем перед проведением их анализа;
- ограничение доступа к уязвимому программному продукту из внешних сетей (Интернет).

Использование рекомендаций:
https://avro.apache.org/project/download/
https://lists.apache.org/thread/c2v7mhqnmq0jmbwxqq3r5jbj1xg43h5x

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://avro.apache.org/project/download/https://lists.apache.org/thread/c2v7mhqnmq0jmbwxqq3r5jbj1xg43h5x
Проверьте безопасность своего сайта и почты → Полная проверка домена