Apache IoTDB Sync Tool反序列化漏洞 (CVE-2023-51656)

漏洞类型 反序列化 发现时间 2023-12-21 漏洞等级 中危
MPS编号 MPS-b5gs-81ux CVE编号 CVE-2023-51656 漏洞影响广度

漏洞危害

OSCS 描述
Apache IoTDB是时序数据的数据管理系统,为用户提供数据采集、存储、分析等特定服务。
在 FileLoaderManager.java 文件的 deSerializeDeviceOwnerMap 方法中,由于在反序列化deviceOwnerMap数据时,未对反序列化的数据进行验证,导致反序列化漏洞。攻击者需要控制系统中的device_owner,在同步工具加载文件时反序列化device_owner,从而可以执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-b5gs-81ux

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.iotdb:iotdb-server [0.13.0, 1.0.1) 升级 将 org.apache.iotdb:iotdb-server 升级至 1.0.1 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-b5gs-81ux

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-b5gs-81ux

https://nvd.nist.gov/vuln/detail/CVE-2023-51656

https://lists.apache.org/thread/zy3klwpv11vl5n65josbfo2fyzxg3dxc

https://github.com/apache/iotdb/pull/8999

https://github.com/apache/iotdb/pull/8999/commits/9d890ed9926e43ead81c19afcdf66cfeab527b4f

(0)
上一篇 2023年12月21日 下午12:00
下一篇 2023年12月22日 下午12:00

相关推荐

  • Solr ConfigSet远程代码执行漏洞 (CVE-2023-50386)

    漏洞类型 动态管理代码资源的控制不恰当 发现时间 2024-02-10 漏洞等级 中危 MPS编号 MPS-ovu7-lr9w CVE编号 CVE-2023-50386 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Solr是一个开源的搜索服务,使用Java语言开发,主要基于HTTP和Apache Lucene实现的。 在受影响的版本中,Solr…

    2024年2月12日
    0
  • XXL-JOB <2.4.0 XSS漏洞 (CVE-2023-48088)

    漏洞类型 XSS 发现时间 2023-11-15 漏洞等级 中危 MPS编号 MPS-hy21-w7s8 CVE编号 CVE-2023-48088 漏洞影响广度 一般 漏洞危害 OSCS 描述 XXL-JOB是一个基于java语言的分布式任务调度平台。XXL-JOB-Admin是该平台负责任务的创建、更新、删除和触发的管理组件。 由于在查询 /xxl-job…

    2023年11月16日
    0
  • Apache Storm File.createTempFile 创建文件权限错误 (CVE-2023-43123)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-11-23 漏洞等级 低危 MPS编号 MPS-dj38-h2yb CVE编号 CVE-2023-43123 漏洞影响广度 一般 漏洞危害 OSCS 描述 Storm 是一个分布式实时计算系统。Storm 提供一组用于执行实时计算的通用原语。 受影响版本中,Storm中使用File.createTempFil…

    2023年11月23日
    0
  • JumpServer 任意密码重置漏洞 (CVE-2023-42820)

    漏洞类型 输入验证不恰当 发现时间 2023-09-27 漏洞等级 高危 MPS编号 MPS-7u1t-o45e CVE编号 CVE-2023-42820 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是一款开源的堡垒机。 在受影响版本中,由于第三方库django-simple-captcha可以在 API /core/auth/capt…

    2023年9月28日
    0
  • Nacos 集群Raft反序列化漏洞 [有POC]

    漏洞类型 反序列化 发现时间 2023/6/6 漏洞等级 严重 MPS编号 MPS-x09i-fgr6 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Nacos是一个用于动态服务发现和配置以及服务管理的平台。攻击者可以在Nacos集群处理某些Jraft请求时利用Hessian进行无限制的反序列化,从而造成远程代码执行。由于Nacos…

    2023年8月30日
    0