Apache Avro на грани: хакеры нашли способ захватить контроль над кодом

В Apache Avro Java SDK выявлена критическая уязвимость, позволяющая злоумышленникам выполнять произвольный код на уязвимых экземплярах. Ошибка безопасности, зарегистрированная как CVE-2024-47561, затрагивает все версии программного обеспечения до 1.11.4 включительно.

В официальном уведомлении разработчиков проекта говорится: «Парсинг схем (Schema Parsing) в Java SDK Apache Avro версии 1.11.3 и более ранних позволяет злоумышленникам выполнить произвольный код». Рекомендовано обновить ПО до версии 1.11.4 или 1.12.0, где эта проблема устранена.

Apache Avro — это фреймворк для сериализации данных, аналогичный Protobuf от Google, который широко используется для обработки больших объёмов данных. Уязвимость затрагивает приложения, допускающие загрузку и разбор схем Avro от сторонних пользователей.

Данная проблема была обнаружена специалистом по безопасности из компании Databricks Костей Корчинским. В качестве мер защиты рекомендуется тщательно проверять схемы перед их разбором и избегать использования пользовательских схем.

Менеджер по исследованиям угроз компании Qualys Майуреш Дани отметил, что «уязвимость CVE-2024-47561 затрагивает Apache Avro версии 1.11.3 и более ранние при десериализации входных данных через схему Avro». Специалист также указал, что на момент публикации новостей доказательства концепции (PoC) эксплойта в публичном доступе нет, однако существует возможность использования уязвимости через директивы ReflectData и SpecificData, а также через Kafka.

Поскольку Apache Avro является открытым проектом, он активно используется многими организациями. Большинство из них базируются в США, что повышает риски для безопасности, если уязвимость не будет вовремя устранена.