| 【漏洞预警】Apache Airflow多个漏洞风险提示 |
|
|
【漏洞公告】 近日,Apache官方发布安全更新,修复了多个Apache Airflow相关漏洞。其中Apache Airflow Hive Provider Beeline远程命令执行漏洞(CVE-2023-28706)风险较高,目前官方发布安全更新,建议受影响的用户尽快采取安全措施。 相关链接: https://lists.apache.org/thread/dl20xxd51xvlx0zzc0wzgxfjwgtbbxo3 https://lists.apache.org/thread/dfoj7q1nd0vhhsl8fjg63z4j6mfmdxtk https://lists.apache.org/thread/lb9w9114ow00h2nkn8bjm106v5x1p1d2
【影响范围】 Apache Airflow Hive Provider Beeline远程命令执行漏洞(CVE-2023-28706): 漏洞影响版本: Apache Airflow Hive Provider version < 6.0.0 安全版本: Apache Airflow Hive Provider version >=6.0.0 Apache Airflow Drill Provider Arbitrary任意文件读取漏洞(CVE-2023-28707): 漏洞影响版本: Apache Airflow Hive Provider version < 2.3.2 安全版本: Apache Airflow Hive Provider version >=2.3.2 Apache Airflow Spark Provider Arbitrary任意文件读取(CVE-2023-28710): 漏洞影响版本: Apache Airflow Spark Provider version < 4.0.1 安全版本: Apache Airflow Spark Provider version >= 4.0.1
【漏洞描述】 Apache Airflow Hive Provider Beeline远程命令执行(CVE-2023-28706):ApacheSoftwareFoundation Apache Airflow配置单元提供程序中的代码生成控制不当(“代码注入”)漏洞。此问题影响Apache Airflow Hive Provider:6.0.0之前。
Apache Airflow Drill Provider Arbitrary任意文件读取(CVE-2023-28707):Apache SoftwareFoundation Apache Airflow Drill Provider中存在不正确的输入验证漏洞。此问题影响ApacheAirflow Drill Provider:2.3.2之前的版本。
Apache Airflow Spark Provider Arbitrary任意文件读取(CVE-2023-28710):Apache SoftwareFoundation Apache Airflow Spark Provider中存在不正确的输入验证漏洞。此问题影响ApacheAirflow Spark Provider:4.0.1之前的版本。
【缓解措施】 高危:目前漏洞细节和测试代码虽暂未公开,但恶意攻击者可以通过对比补丁分析出漏洞触发点,建议受影响用户及时升级到安全版本。 处置措施: 目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。 下载地址:https://airflow.apache.org/
|
||||||||||||||||||||||||
 |
|
Copyright © 2014 East China University Science and Technology. All rights reserved 版权所有 © 2014 华东理工大学信息化办公室 |