Apache Storm File.createTempFile 创建文件权限错误 (CVE-2023-43123)

漏洞类型 未授权敏感信息泄露 发现时间 2023-11-23 漏洞等级 低危
MPS编号 MPS-dj38-h2yb CVE编号 CVE-2023-43123 漏洞影响广度 一般

漏洞危害

OSCS 描述
Storm 是一个分布式实时计算系统。Storm 提供一组用于执行实时计算的通用原语。
受影响版本中,Storm中使用File.createTempFile 在临时目录中创建文件时,默认情况下将使用 -rw-r–r– 权限创建该文件,导致本地其他用户也可以读取此文件,如果将敏感信息写入,可能造成敏感信息泄露。
参考链接:https://www.oscs1024.com/hd/MPS-dj38-h2yb

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.storm:storm [2.0.0, 2.6.0) 缓解措施 使用Files.createTempFile替代File.createTempFile
参考链接:https://www.oscs1024.com/hd/MPS-dj38-h2yb

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-dj38-h2yb

https://nvd.nist.gov/vuln/detail/CVE-2023-43123

https://lists.apache.org/thread/88oc1vqfjtr29cz5xts0v2wm5pmhbm0l

https://github.com/apache/storm/commit/b778125a17ce7497d80aea1e339f3a282aeeb65a

(0)
上一篇 2023年11月23日 下午12:00
下一篇 2023年11月26日 下午2:00

相关推荐

  • Apache Airflow Drill Provider < 2.4.3 存在任意文件读取漏洞 (CVE-2023-39553)

    漏洞类型 输入验证不恰当 发现时间 2023/8/11 漏洞等级 中危 MPS编号 MPS-bv31-4lqj CVE编号 CVE-2023-39553 漏洞影响广度 – 漏洞危害 OSCS 描述 Apache Airflow Drill Provider 是 Apache Airflow 项目中的一个模块,用于提供与 Apache Drill …

    2023年9月1日
    0
  • Spring Kafka 反序列化漏洞 (CVE-2023-34040)

    漏洞类型 反序列化 发现时间 2023-08-24 漏洞等级 中危 MPS编号 MPS-fed8-ocuv CVE编号 CVE-2023-34040 漏洞影响广度 小 漏洞危害 OSCS 描述 Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录…

    2023年8月25日
    0
  • Apache OFBiz 目录遍历导致RCE漏洞 (CVE-2024-32113)

    漏洞类型 路径遍历 发现时间 2024-05-08 漏洞等级 严重 MPS编号 MPS-whuo-m9s3 CVE编号 CVE-2024-32113 漏洞影响广度 极小 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统,OFBiz支持运行Groovy代码用于编程导出数据。 在18.12.13之前的版本中,ControlFilt…

    漏洞 2024年5月10日
    0
  • jeecg-boot/积木报表基于 SSTI 的任意代码执行漏洞 [有POC]

    漏洞类型 代码注入 发现时间 2023/8/13 漏洞等级 严重 MPS编号 MPS-4hzd-mb73 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 JeecgBoot 是一款开源的的低代码开发平台,积木报表是其中的低代码报表组件。JeecgBoot 受影响版本中由于积木报表 /jeecg-boot/jmreport/queryF…

    2023年9月1日
    0
  • Apache Superset 默认示例数据库权限提升漏洞 (CVE-2023-40610)

    漏洞类型 SQL注入 发现时间 2023-11-27 漏洞等级 高危 MPS编号 MPS-iztk-bu2h CVE编号 CVE-2023-40610 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Superset 是一个开源的数据可视化和业务智能平台,可用于数据探索分析和数据可视化。 受影响版本中,默认情况下示例数据库表是在 Superset …

    2023年11月28日
    0