进网络安全行业群
Apache软件基金会解决了Apache Arrow R语言包中的一个严重安全漏洞(CVE-2024-52338)。该漏洞影响4.0.0到16.1.0版本,使得攻击者能够在处理恶意制作的数据文件的系统上执行任意代码。Apache Arrow是一个通用的列式格式和多语言工具箱,用于快速数据交换和内存分析。它包含一组技术,使数据系统能够有效地存储,处理和移动数据。R arrow包为R用户提供了对Apache Arrow C++库的许多功能的访问。
该漏洞源于受影响版本的R软件包中IPC和Parquet阅读器中的数据的不安全封装。从不受信任的来源(如用户提供的输入文件)读取阅读Arrow IPC、Feather或Parquet文件的应用程序尤其容易受到攻击。
| 影响范围
利用CVE-2024-52338漏洞可能会造成严重后果,使攻击者能够危害系统并可能获得对敏感数据的未经授权访问。需要注意的是,该漏洞仅针对Apache Arrow R语言包,不会直接影响其他Apache Arrow实现或绑定。然而,将这些其他实现与易受攻击的R语言包结合使用的应用程序仍然存在风险。
Apache软件基金会敦促用户立即升级到Apache Arrow R语言包的17.0.0或更高版本。依赖于受影响包的下游库也应该相应地更新它们的依赖项。
对于无法立即升级的用户,一个临时的解决方法是将不受信任的数据读入表中,并利用其内部to_data_frame()方法。例如,read_parquet(…,as _ data _ frame = FALSE)$ to _ data _ frame()
| 原文:https://securityonline.info/cve-2024-52338-critical-security-flaw-in-apache-arrow-r-package-allows-arbitrary-code-execution/
