Haberler

Apache Avro SDK’de Kritik Güvenlik Açığı: Java Uygulamalarında Ciddi RCE Tehdidi

Apache Avro Java Yazılım Geliştirme Kiti’nde (SDK) keşfedilen kritik bir güvenlik açığı, başarılı bir şekilde istismar edilirse sistemlerde rastgele kod çalıştırılmasına izin verebiliyor. CVE-2024-47561 olarak izlenen bu güvenlik açığı, 1.11.4 öncesindeki tüm sürümlerini etkiliyor ve 1.11.4 veya 1.12.0 sürümlere yükseltilmesi tavsiye ediliyor.

Tavsiyeler

Bu güvenlik açığını azaltmak için şemaları ayrıştırmadan önce temizlemek ve kullanıcıların sağladığı şemaları ayrıştırmaktan kaçınmak öneriliyor.

Tehdit istihbaratı raporlarımıza göre, şu anda herhangi bir PoC (kanıt kavramı) kamuya açık değil, ancak bu güvenlik açığı, ReflectData ve SpecificData direktifleri aracılığıyla paketler işlenirken var olabilir ve Kafka aracılığıyla da istismar edilebilir. Apache Avro’nun açık kaynak bir proje olması nedeniyle, birçok kuruluş tarafından kullanılmakta. Kamuya açık verilere dayanarak, bu kuruluşların çoğunluğunun ABD’de bulunduğu görülüyor. Eğer bu güvenlik açığı yamalanmaz ve korunmazsa, ciddi güvenlik sonuçları doğurabilir.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu