Apache Avro Java Yazılım Geliştirme Kiti’nde (SDK), başarılı bir şekilde kullanılması durumunda duyarlı örneklerde rastgele kod yürütülmesine izin verebilecek kritik bir güvenlik açığı açıklandı.
Kusur şu şekilde izlendi: CVE-2024-47561yazılımın 1.11.4’ten önceki tüm sürümlerini etkiler.
Proje sorumluları, “Apache Avro 1.11.3 ve önceki sürümlerin Java SDK’sındaki şema ayrıştırma, kötü aktörlerin rastgele kod yürütmesine olanak tanıyor” dedi. söz konusu geçen hafta yayınlanan bir tavsiye niteliğinde. “Kullanıcıların yükseltme yapması önerilir sürüm 1.11.4 veya 1.12.0, bu sorunu çözüyor.”
Apache Avro, Google’ın Protokol Tamponlarına benzer (protobuf), dilden bağımsız bir ortam sağlayan açık kaynaklı bir projedir. veri serileştirme çerçevesi büyük ölçekli veri işleme için.
Avro ekibi, güvenlik açığının, kullanıcıların ayrıştırma için kendi Avro şemalarını sağlamalarına izin vermesi halinde tüm uygulamaları etkileyeceğini belirtiyor. Databricks güvenlik ekibinden Kostya Kortchinsky, güvenlik açığını keşfetme ve bildirme konusunda itibar kazandı.
Azaltıcı bir önlem olarak, şemaları ayrıştırmadan önce dezenfekte etmeniz ve kullanıcı tarafından sağlanan şemaları ayrıştırmaktan kaçınmanız önerilir.
Qualys’in tehdit araştırması yöneticisi Mayuresh Dani, The Hacker News ile paylaşılan bir açıklamada “CVE-2024-47561, avroAvro şeması aracılığıyla alınan girdilerin serileştirilmesini kaldırırken Apache Avro 1.11.3 ve önceki sürümleri etkiliyor” dedi.
“Bir tehdit aktöründen gelen bu tür bir girdinin işlenmesi, kodun yürütülmesine yol açar. Tehdit istihbaratı raporlarımıza göre, hiçbir PoC kamuya açık değildir, ancak bu güvenlik açığı, paketler üzerinden işlenirken mevcuttur. ReflectData ve SpecificData direktifleri ve ayrıca Kafka aracılığıyla da kullanılabilir.”
“Apache Avro açık kaynaklı bir proje olduğundan birçok kuruluş tarafından kullanılıyor. Kamuya açık verilere göre, bu kuruluşların çoğunluğu ABD’de bulunuyor. Bu durum, yama yapılmadan, denetlenmeden ve korunmadan bırakılırsa kesinlikle birçok güvenlik etkisi doğuracaktır. “
