Uma falha crítica de segurança foi divulgada no Kit de Desenvolvimento de Software (SDK) do Apache Avro para Java que, se explorada com sucesso, poder permitir a execução de código arbitrário em instâncias suscetíveis.
A falha, identificada como
CVE-2024-47561
, afeta todas as versões do software anteriores à 1.11.4.
"A análise de esquema no SDK de Java do Apache Avro 1.11.3 e versões anteriores permite que atores mal-intencionados executem código arbitrário", disseram os mantenedores do projeto em um aviso divulgado na semana passada.
É recomendado que os usuários façam a atualização para a versão 1.11.4 ou 1.12.0, que corrigem este problema. O Apache Avro, análogo aos Protocol Buffers (protobuf) do Google, é um projeto de código aberto que fornece uma framework de serialização de dados neutra em relação à linguagem para processamento de dados em larga escala.
A equipe do Avro observa que a vulnerabilidade afeta qualquer aplicativo que permita aos usuários fornecer seus próprios esquemas Avro para análise.
Kostya Kortchinsky, da equipe de segurança da Databricks, foi creditado pela descoberta e relato da falha de segurança.
Como medidas de mitigação, é recomendado higienizar os esquemas antes de analisá-los e evitar a análise de esquemas fornecidos pelo usuário.
"O
CVE-2024-47561
afeta o Apache Avro 1.11.3 e versões anteriores durante a desserialização de entradas recebidas via esquema Avro", disse Mayuresh Dani, gerente de pesquisa de ameaças na Qualys, em uma declaração compartilhada.
Processar tal entrada de um ator de ameaça leva à execução de código.
Baseado em nosso relato de inteligência de ameaças, não há PoC disponível publicamente, mas essa vulnerabilidade existe ao processar pacotes via diretivas ReflectData e SpecificData e também pode ser explorada via Kafka.
Uma vez que o Apache Avro é um projeto de código aberto, é utilizado por muitas organizações.
Baseando-se em dados disponíveis publicamente, a maioria dessas organizações está localizada nos EUA.
Isso definitivamente tem um grande impacto na segurança se deixado sem correção, supervisão e proteção.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...