Уязвимость библиотеки сериализации данных Apache Avro связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированной схемы данных
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности анализа пользовательских схем, полученных из недоверенных источников;
- выполнение очистки пользовательских схем перед проведением их анализа;
- ограничение доступа к уязвимому программному продукту из внешних сетей (Интернет).
Использование рекомендаций:
https://avro.apache.org/project/download/
https://lists.apache.org/thread/c2v7mhqnmq0jmbwxqq3r5jbj1xg43h5x
| Балл | 7.5 — высокая опасность |