Falha crítica no SDK do Apache Avro
7 de Outubro de 2024

Uma falha crítica de segurança foi divulgada no Kit de Desenvolvimento de Software (SDK) do Apache Avro para Java que, se explorada com sucesso, poder permitir a execução de código arbitrário em instâncias suscetíveis.

A falha, identificada como CVE-2024-47561 , afeta todas as versões do software anteriores à 1.11.4.

"A análise de esquema no SDK de Java do Apache Avro 1.11.3 e versões anteriores permite que atores mal-intencionados executem código arbitrário", disseram os mantenedores do projeto em um aviso divulgado na semana passada.

É recomendado que os usuários façam a atualização para a versão 1.11.4 ou 1.12.0, que corrigem este problema. O Apache Avro, análogo aos Protocol Buffers (protobuf) do Google, é um projeto de código aberto que fornece uma framework de serialização de dados neutra em relação à linguagem para processamento de dados em larga escala.

A equipe do Avro observa que a vulnerabilidade afeta qualquer aplicativo que permita aos usuários fornecer seus próprios esquemas Avro para análise.

Kostya Kortchinsky, da equipe de segurança da Databricks, foi creditado pela descoberta e relato da falha de segurança.

Como medidas de mitigação, é recomendado higienizar os esquemas antes de analisá-los e evitar a análise de esquemas fornecidos pelo usuário.

"O CVE-2024-47561 afeta o Apache Avro 1.11.3 e versões anteriores durante a desserialização de entradas recebidas via esquema Avro", disse Mayuresh Dani, gerente de pesquisa de ameaças na Qualys, em uma declaração compartilhada.

Processar tal entrada de um ator de ameaça leva à execução de código.

Baseado em nosso relato de inteligência de ameaças, não há PoC disponível publicamente, mas essa vulnerabilidade existe ao processar pacotes via diretivas ReflectData e SpecificData e também pode ser explorada via Kafka.

Uma vez que o Apache Avro é um projeto de código aberto, é utilizado por muitas organizações.

Baseando-se em dados disponíveis publicamente, a maioria dessas organizações está localizada nos EUA.

Isso definitivamente tem um grande impacto na segurança se deixado sem correção, supervisão e proteção.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...