Apache IoTDB Sync Tool反序列化漏洞 (CVE-2023-51656)

漏洞类型 反序列化 发现时间 2023-12-21 漏洞等级 中危
MPS编号 MPS-b5gs-81ux CVE编号 CVE-2023-51656 漏洞影响广度

漏洞危害

OSCS 描述
Apache IoTDB是时序数据的数据管理系统,为用户提供数据采集、存储、分析等特定服务。
在 FileLoaderManager.java 文件的 deSerializeDeviceOwnerMap 方法中,由于在反序列化deviceOwnerMap数据时,未对反序列化的数据进行验证,导致反序列化漏洞。攻击者需要控制系统中的device_owner,在同步工具加载文件时反序列化device_owner,从而可以执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-b5gs-81ux

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.iotdb:iotdb-server [0.13.0, 1.0.1) 升级 将 org.apache.iotdb:iotdb-server 升级至 1.0.1 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-b5gs-81ux

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-b5gs-81ux

https://nvd.nist.gov/vuln/detail/CVE-2023-51656

https://lists.apache.org/thread/zy3klwpv11vl5n65josbfo2fyzxg3dxc

https://github.com/apache/iotdb/pull/8999

https://github.com/apache/iotdb/pull/8999/commits/9d890ed9926e43ead81c19afcdf66cfeab527b4f

(0)
上一篇 2023年12月21日 下午12:00
下一篇 2023年12月22日 下午12:00

相关推荐

  • LangChain langchain-experimental 任意代码执行 (CVE-2024-27444)

    漏洞类型 代码注入 发现时间 2024-02-27 漏洞等级 高危 MPS编号 MPS-1t8v-pu7m CVE编号 CVE-2024-27444 漏洞影响广度 广 漏洞危害 OSCS 描述 LangChain Experimental 在 pal_chain/base.py 中未禁止对特定Python属性的访问,这些属性包括__import__、__su…

    2024年2月27日
    0
  • vm2 <=3.9.19 远程代码执行漏洞(Promise 绕过) (CVE-2023-37466)

    漏洞类型 注入 发现时间 2023/7/14 漏洞等级 严重 MPS编号 MPS-dvto-znpx CVE编号 CVE-2023-37466 漏洞影响广度 广 漏洞危害 OSCS 描述 vm2 是一个基于 Node.js 的沙箱环境,Promise 对象用来处理异步代码。3.9.19 及之前版本中,Promise 处理程序的过滤机制可以被绕过,攻击者可通过…

    2023年8月31日
    0
  • Babel 插件任意代码执行漏洞漏洞【Poc公开】 (CVE-2023-45133)

    漏洞类型 不完整的黑名单 发现时间 2023-10-13 漏洞等级 严重 MPS编号 MPS-avb9-j50z CVE编号 CVE-2023-45133 漏洞影响广度 广 漏洞危害 OSCS 描述 Babel 是开源的 JavaScript 编译器。 当使用依赖 path.evaluate() 或 path.evaluateTruthy()方法的插件编译攻…

    2023年10月14日
    0
  • Apache Airflow <2.8.0 越权漏洞 (CVE-2023-48291)

    漏洞类型 将资源暴露给错误范围 发现时间 2023-12-21 漏洞等级 中危 MPS编号 MPS-fdcz-e81o CVE编号 CVE-2023-48291 漏洞影响广度 广 漏洞危害 OSCS 描述 Airflow 是一个开源的工作流自动化平台,提供用户定义、调度和监视工作流任务的执行功能。 Apache Airflow中存在越权漏洞,由于auth.p…

    2023年12月26日
    0
  • Apache Solr Operator 身份验证凭据泄漏漏洞 (CVE-2024-31391)

    漏洞类型 日志敏感信息泄露 发现时间 2024-04-12 漏洞等级 中危 MPS编号 MPS-xe3h-i1nf CVE编号 CVE-2024-31391 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Solr 是一款开源的搜索引擎。 当Solr Operator配置为启用基本身份验证(.solrOptions.security.authen…

    漏洞 2024年4月15日
    0