Uma falha crítica de segurança foi divulgada no Kit de Desenvolvimento de Software (SDK) do Apache Avro para Java que, se explorada com sucesso, poder permitir a execução de código arbitrário em instâncias suscetíveis.
A falha, identificada como
CVE-2024-47561
, afeta todas as versões do software anteriores à 1.11.4.
"A análise de esquema no SDK de Java do Apache Avro 1.11.3 e versões anteriores permite que atores mal-intencionados executem código arbitrário", disseram os mantenedores do projeto em um aviso divulgado na semana passada.
É recomendado que os usuários façam a atualização para a versão 1.11.4 ou 1.12.0, que corrigem este problema. O Apache Avro, análogo aos Protocol Buffers (protobuf) do Google, é um projeto de código aberto que fornece uma framework de serialização de dados neutra em relação à linguagem para processamento de dados em larga escala.
A equipe do Avro observa que a vulnerabilidade afeta qualquer aplicativo que permita aos usuários fornecer seus próprios esquemas Avro para análise.
Kostya Kortchinsky, da equipe de segurança da Databricks, foi creditado pela descoberta e relato da falha de segurança.
Como medidas de mitigação, é recomendado higienizar os esquemas antes de analisá-los e evitar a análise de esquemas fornecidos pelo usuário.
"O
CVE-2024-47561
afeta o Apache Avro 1.11.3 e versões anteriores durante a desserialização de entradas recebidas via esquema Avro", disse Mayuresh Dani, gerente de pesquisa de ameaças na Qualys, em uma declaração compartilhada.
Processar tal entrada de um ator de ameaça leva à execução de código.
Baseado em nosso relato de inteligência de ameaças, não há PoC disponível publicamente, mas essa vulnerabilidade existe ao processar pacotes via diretivas ReflectData e SpecificData e também pode ser explorada via Kafka.
Uma vez que o Apache Avro é um projeto de código aberto, é utilizado por muitas organizações.
Baseando-se em dados disponíveis publicamente, a maioria dessas organizações está localizada nos EUA.
Isso definitivamente tem um grande impacto na segurança se deixado sem correção, supervisão e proteção.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...