Apache Avro Java Yazılım Geliştirme Kiti’nde (SDK), başarılı bir şekilde kullanılması durumunda duyarlı örneklerde rastgele kod yürütülmesine izin verebilecek kritik bir güvenlik açığı açıklandı.
Kusur şu şekilde izlendi: CVE-2024-47561yazılımın 1.11.4’ten önceki tüm sürümlerini etkiler.
Proje yöneticileri geçen hafta yayınlanan bir danışma belgesinde “Apache Avro 1.11.3 ve önceki sürümlerin Java SDK’sındaki şema ayrıştırma, kötü aktörlerin rastgele kod yürütmesine olanak tanıyor” dedi. “Kullanıcıların bu sorunu çözen 1.11.4 veya 1.12.0 sürümüne yükseltmeleri önerilir.”
Google’ın Protokol Tamponlarına (protobuf) benzeyen Apache Avro, büyük ölçekli veri işleme için dilden bağımsız bir veri serileştirme çerçevesi sağlayan açık kaynaklı bir projedir.
Avro ekibi, güvenlik açığının, kullanıcıların ayrıştırma için kendi Avro şemalarını sağlamalarına izin vermesi halinde tüm uygulamaları etkileyeceğini belirtiyor. Databricks güvenlik ekibinden Kostya Kortchinsky, güvenlik açığını keşfetme ve raporlama konusunda itibar kazandı.
Azaltıcı bir önlem olarak, şemaları ayrıştırmadan önce dezenfekte etmeniz ve kullanıcı tarafından sağlanan şemaları ayrıştırmaktan kaçınmanız önerilir.
Qualys’in tehdit araştırması yöneticisi Mayuresh Dani, The Hacker News ile paylaşılan bir açıklamada “CVE-2024-47561, avroAvro şeması aracılığıyla alınan girdilerin serileştirilmesini kaldırırken Apache Avro 1.11.3 ve önceki sürümleri etkiliyor” dedi.
“Bir tehdit aktöründen gelen bu tür bir girdinin işlenmesi, kodun yürütülmesine yol açar. Tehdit istihbaratı raporlarımıza göre, hiçbir PoC kamuya açık değildir, ancak bu güvenlik açığı, ReflectData ve SpecificData direktifleri aracılığıyla paketler işlenirken mevcuttur ve ayrıca Kafka aracılığıyla da kullanılabilir.”
“Apache Avro açık kaynaklı bir proje olduğu için birçok kuruluş tarafından kullanılıyor. Kamuya açık verilere göre, bu kuruluşların çoğunluğu ABD’de bulunuyor. Yama yapılmadan, denetlenmeden ve korunmadan bırakılırsa bunun kesinlikle birçok güvenlik etkisi olacaktır. “