Apache Avro SDK曝關鍵漏洞,可在Java中執行任意代碼
Apache Avro Java軟件開發工具包(SDK)中披露了一個關鍵安全漏洞,如果成功利用,可以在易受攻擊的實例上執行任意代碼。該漏洞編號為CVE-2024-47561,影響1.11.4之前版本的所有軟件。Databricks安全團隊的Kostya Kortchinsky被發現并報告了這個安全缺陷。
Apache Avro與谷歌的Protocol Buffers(protobuf)類似,是一個為大規模數據處理提供語言中立的數據序列化框架的開源項目,提供緊湊、快速且高效的數據格式。它在大數據處理、分布式系統和云計算中被廣泛使用。項目維護者發布公告稱,“Apache Avro 1.11.3及之前版本的Java SDK中的模式解析允許惡意行為者執行任意代碼,建議用戶升級到1.11.4或1.12.0版本,這些版本修復了此問題。”
Avro團隊進一步指出,如果應用程序允許用戶提供自己的Avro模式進行解析,則該漏洞會影響任何應用程序。
“CVE-2024-47561影響Apache Avro 1.11.3及之前版本,在通過avroAvro模式反序列化接收到的輸入時。處理來自威脅行為者的此類輸入會導致代碼執行。根據我們的威脅情報報告,沒有公開的PoC,但這個漏洞存在于通過ReflectData和SpecificData指令處理包時,也可以通過Kafka利用。
緩解措施
1. 更新 Apache Avro SDK
確保您使用的是最新版本的 Apache Avro SDK來解決此漏洞。
xml
<!-- 示例 Maven 依賴 -->
<dependency>
<groupId>org.apache.avro</groupId>
<artifactId>avro</artifactId>
<version>1.10.2</version> <!-- 使用最新版本 -->
</dependency>2. 驗證輸入數據
在反序列化任何數據之前,請根據預定義的模式對其進行驗證,或使用白名單方法確保只處理預期的數據格式。
java
import org.apache.avro.Schema;
import org.apache.avro.file.DataFileReader;
import org.apache.avro.generic.GenericDatumReader;
import org.apache.avro.generic.GenericRecord;
import org.apache.avro.io.DatumReader;
import java.io.File;
public class AvroDeserializer {
public static void main(String[] args) throws Exception {
File file = new File("example.avro");
Schema schema = new Schema.Parser().parse(new File("schema.avsc"));
DatumReader<GenericRecord> datumReader = new GenericDatumReader<>(schema);
DataFileReader<GenericRecord> dataFileReader = new DataFileReader<>(file, datumReader);
for (GenericRecord record : dataFileReader) {
// 驗證記錄是否符合模式
if (isValid(record)) {
// 處理記錄
} else {
throw new SecurityException("數據格式無效");
}
}
}
private static boolean isValid(GenericRecord record) {
// 在此處實現您的驗證邏輯
return true;
}
}3. 使用安全的反序列化庫
考慮使用提供額外保護層以防止 RCE 攻擊的安全反序列化庫。例如,Jackson 庫提供了 `@JsonTypeInfo` 和 `@JsonSubTypes` 等功能來控制反序列化。
4. 實施輸入清理
在反序列化之前對輸入數據進行清理,以刪除潛在的惡意內容。這有助于防止執行未經授權的代碼。
5. 監控和記錄反序列化事件
實施日志記錄和監控反序列化事件,以便及時發現任何可疑活動。
6. 使用安全掃描器
定期使用安全掃描器和工具來識別應用程序及其依賴項中的漏洞。
使用 Jackson 進行安全反序列化的示例:
java
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.jsontype.BasicPolymorphicTypeValidator;
import com.fasterxml.jackson.databind.jsontype.PolymorphicTypeValidator;
public class SecureDeserializer {
public static void main(String[] args) throws Exception {
ObjectMapper objectMapper = new ObjectMapper();
PolymorphicTypeValidator ptv = BasicPolymorphicTypeValidator.builder()
.allowIfBaseType(Object.class)
.build();
objectMapper.activateDefaultTyping(ptv, ObjectMapper.DefaultTyping.NON_FINAL);
// 安全地反序列化數據
MyObject obj = objectMapper.readValue(jsonString, MyObject.class);
}
}通過遵循這些實踐,可以降低使用 Apache Avro 的 Java 應用程序中遠程代碼執行漏洞的風險。
