Une faille de sécurité critique a été révélée dans le kit de développement logiciel (SDK) Java Apache Avro qui, si elle est exploitée avec succès, pourrait permettre l’exécution de code arbitraire sur des instances sensibles.
La faille, suivie comme CVE-2024-47561impacte toutes les versions du logiciel antérieures à 1.11.4.
« L’analyse de schéma dans le SDK Java d’Apache Avro 1.11.3 et les versions précédentes permet aux mauvais acteurs d’exécuter du code arbitraire », affirment les responsables du projet. dit dans un avis publié la semaine dernière. « Il est recommandé aux utilisateurs de passer à version 1.11.4 ou 1.12.0, qui résolvent ce problème. »
Apache Avro, analogue aux tampons de protocole de Google (protobuf), est un projet open source qui fournit un langage neutre cadre de sérialisation des données pour le traitement de données à grande échelle.
L’équipe Avro note que la vulnérabilité affecte n’importe quelle application si elle permet aux utilisateurs de fournir leurs propres schémas Avro pour l’analyse. Kostya Kortchinsky de l’équipe de sécurité de Databricks a été reconnu pour avoir découvert et signalé la faille de sécurité.
À titre d’atténuation, il est recommandé de nettoyer les schémas avant de les analyser et d’éviter d’analyser les schémas fournis par l’utilisateur.
« CVE-2024-47561 affecte Apache Avro 1.11.3 et les versions précédentes tout en désérialisant les entrées reçues via le schéma avroAvro », a déclaré Mayuresh Dani, responsable de la recherche sur les menaces chez Qualys, dans une déclaration partagée avec The Hacker News.
« Le traitement de telles entrées provenant d’un acteur menaçant conduit à l’exécution de code. D’après nos rapports de renseignements sur les menaces, aucun PoC n’est accessible au public, mais cette vulnérabilité existe lors du traitement des packages via Directives ReflectData et SpecificData et peut également être exploité via Kafka.
« Etant donné qu’Apache Avro est un projet open source, il est utilisé par de nombreuses organisations. Sur la base de données accessibles au public, la majorité de ces organisations sont situées aux États-Unis. Cela a certainement de nombreuses implications en matière de sécurité s’il n’est pas corrigé, non supervisé et non protégé. « .