漏洞预警|Apache Linkis 存在反序列化漏洞

棱镜七彩安全预警

近日网上有关于开源项目Apache Linkis 存在反序列化漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应。

项目介绍

Apache Linkis 在上层应用程序和底层引擎之间构建了一层计算中间件。通过使用Linkis 提供的REST/WebSocket/JDBC 等标准接口，上层应用可以方便地连接访问MySQL/Spark/Hive/Presto/Flink 等底层引擎，同时实现统一变量、脚本、用户定义函数和资源文件等用户资源的跨上层应用互通，以及通过REST标准接口提供了数据源管理和数据源对应的元数据查询服务。 作为计算中间件，Linkis 提供了强大的连通、复用、编排、扩展和治理管控能力。通过将应用层和引擎层解耦，简化了复杂的网络调用关系，降低了整体复杂度，同时节约了整体开发和维护成本。

项目主页

https://linkis.apache.org/

代码托管地址

https://github.com/apache/linkis

CVE编号

CVE-2023-29216

漏洞情况

Apache Linkis 是一个用于将上层应用与底层数据引擎解耦，提供标准化接口的中间件。

该项目受影响版本存在存在反序列化漏洞，由于SqlConnection.java中未对host、port、username,、password等参数进行充分过滤，当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 autoDeserialize 参数为 true（默认false）时，可通过控制 MySQL 服务在客户端执行任意远程代码。

受影响的版本

org.apache.linkis:linkis-metadata-query-service-jdbc@(-∞, 1.3.2)

修复方案

将组件 org.apache.linkis:linkis-metadata-query-service-jdbc 升级至 1.3.2 及以上版本

链接地址：

https://nvd.nist.gov/vuln/detail/CVE-2023-29216

https://github.com/apache/linkis/commit/7005c01d7f7bca78322447f4f2f32b8398645687#diff-fbdc1d6e858556b3a29efe4862c0bbe5b66ed986f327bae43da9adafd0c4b743

https://www.openwall.com/lists/oss-security/2023/04/10/5