安全通告-Apache Linkis反序列化漏洞风险提示(CVE-2022-39944)
发布时间:2022-10-28
阅读次数:1215
一、 漏洞公告
近日,监测到Apache官方发布了安全公告,修复了Apache Linkis的一个反序列化漏洞(CVE-2022-39944)。该漏洞是由于Apache Linkis版本<=1.2.0版本中与MySQL Connector/J 驱动程序一起使用时存在可能远程执行代码的反序列化漏洞。目前官方已发布安全版本,建议受影响的用户尽快采取安全措施。
参考链接: https://lists.apache.org/thread/rxytj48q17304snonjtyt5lnlw64gccc
二、影响范围
受影响版本:
Apache Linkis <= 1.2.0
安全版本:
Apache Linkis 1.3.0或更高版本
三、漏洞描述
Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件,提供了强大的连接、复用、编排、扩展和处理能力。Apache Linkis反序列化漏洞(CVE- 2022-39944):Apache Linkis版本<=1.2.0版本中与 MySQL Connector/J 驱动程序一起使用时存在可能远程执行代码的反序列化漏洞,当对MySQL数据库具有写权限的攻击者可通过此漏洞恶意配置 JDBC EC(Engineconn),从而实现执行远程代码。
四、缓解措施
高危:目前漏洞细节和测试代码暂未公开,但是恶意攻击者可以通过补丁对比方式分析出漏洞触发点,建议受影响用户及时更新至安全版本。
官方建议:
1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:
https://github.com/apache/incubator-linkis/releases/tag/1.3.0
2、无法升级Apache Linkis的用户也可以选择单独升级JDBC EngineConn。
下载链接:
https://github.com/apache/incubator-linkis/tree/master/linkis-engineconn-plugins/jdbc
来源:Apache官方
/
网络安全