Apache Zeppelin Shell解释器 命令执行漏洞 (CVE-2024-31861)

漏洞类型 OS命令注入 发现时间 2024-04-11 漏洞等级 严重
MPS编号 MPS-dxnp-u5h3 CVE编号 CVE-2024-31861 漏洞影响广度

漏洞危害

OSCS 描述
Apache Zeppelin是一款基于 Web 可实现交互式数据分析的notebook产品。
Apache Zeppelin 中 sh 解释器类型的 notebook 可以直接执行 shell 命令。攻击者可以利用这一特性,创建 sh 解释器类型的 notebook,并执行任意恶意命令。
官方从0.11.1版本开始默认不包含 sh 解释器,解决该风险。
参考链接:https://www.oscs1024.com/hd/MPS-dxnp-u5h3

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
zeppelin [0.10.1, 0.11.1) 升级 将 zeppelin 升级至 0.11.1 及以上版本
缓解措施 禁止创建sh interpreter 类型的notebook
参考链接:https://www.oscs1024.com/hd/MPS-dxnp-u5h3

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-dxnp-u5h3

https://www.openwall.com/lists/oss-security/2024/04/10/8

https://github.com/apache/zeppelin/pull/4708

https://zeppelin.apache.org/docs/0.8.2/interpreter/shell.html

https://github.com/jongyoul/zeppelin/commit/30483de6130d797abb19ca9998580d5cf463279e

(0)
上一篇 2024年4月15日
下一篇 2024年4月16日

相关推荐

  • MLflow <2.12.1 存在路径遍历漏洞 (CVE-2024-3848)

    漏洞类型 路径遍历 发现时间 2024-05-17 漏洞等级 严重 MPS编号 MPS-ghw4-em9v CVE编号 CVE-2024-3848 漏洞影响广度 漏洞危害 OSCS 描述 MLflow是一个简化机器学习开发的平台,包括跟踪实验、将代码打包为可重复运行以及共享和部署模型。 受影响版本[2.9.2,2.12.1)容易受到路径遍历的攻击,该漏洞是针…

    漏洞 2024年5月18日
    0
  • Telegram Windows客户端可执行文件限制不当RCE漏洞 (MPS-38wf-ilyv)

    漏洞类型 不完整的黑名单 发现时间 2024-04-13 漏洞等级 高危 MPS编号 MPS-38wf-ilyv CVE编号 – 漏洞影响广度 小 漏洞危害 OSCS 描述 Telegram是提供开源客户端的跨平台即时通信软件。 在其客户端中通过黑名单限制Windows下可执行文件后缀,由于黑名单列表错误拼写了python zipapp后缀pyz…

    漏洞 2024年4月15日
    0
  • Jenkins CLI 任意文件读取漏洞导致远程代码执行风险 (CVE-2024-23897)

    漏洞类型 路径遍历 发现时间 2024-01-24 漏洞等级 高危 MPS编号 MPS-nw0b-89j6 CVE编号 CVE-2024-23897 漏洞影响广度 一般 漏洞危害 OSCS 描述 Jenkins CLI 是 Jenkins 内置的命令行页面。 Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,该库默认将参数中 @ 字符后的…

    2024年1月25日
    0
  • Google Chrome Blink 内存越界访问漏洞 (CVE-2024-1669)

    漏洞类型 越界读取 发现时间 2024-02-21 漏洞等级 高危 MPS编号 MPS-e80z-3t4y CVE编号 CVE-2024-1669 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是谷歌公司开发的一款Web浏览器,其中使用的Blink作为其渲染引擎。 在受影响的版本中,Blink引擎的Web Neural Networ…

    2024年2月22日
    0
  • Vue.js Devtools 信息泄漏漏洞 (CVE-2023-5718)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-10-23 漏洞等级 中危 MPS编号 MPS-ufj7-8m52 CVE编号 CVE-2023-5718 漏洞影响广度 一般 漏洞危害 OSCS 描述 Vue.js Devtools 是一款用于 Vue.js 应用程序开发和调试的浏览器扩展工具。 扩展中没有正确验证和授权postMessage()消息的来源…

    2023年10月24日
    0