Apache Linkis Gateway 模块存在身份验证绕过漏洞-低调大师

Apache Linkis Gateway 模块存在身份验证绕过漏洞

2023-04-12 532

漏洞描述

Apache Linkis 是一个用于将上层应用与底层数据引擎解耦，提供标准化接口的中间件。Gateway 是 Linkis 接受客户端和外部请求的主要入口点，

在 Apache Linkis 受影响版本中，由于在 Linkis Gateway 部署时产生的Token默认为LINKIS_CLI_TEST，攻击者可以利用该token绕过Linkis平台身份验证。该漏洞已在Apache Linkis 1.3.2版本修复，将原有固定的Token改为随机生成，并增加Token长度。

漏洞名称	Apache Linkis Gateway模块存在身份验证绕过漏洞
漏洞类型	使用捕获-重放进行的认证绕过
发现时间	2023-04-11
漏洞影响广度	一般
MPS编号	MPS-2023-7468
CVE编号	CVE-2023-27987
CNVD编号	-

影响范围

org.apache.linkis:linkis-computation-client@(-∞, 1.3.2)

修复方案

升级org.apache.linkis:linkis-computation-client到 1.3.2 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-7468

https://nvd.nist.gov/vuln/detail/CVE-2023-27987

Commit

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/236601

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Apache Linkis JDBC EngineConn 插件 <1.3.2 存在反序列化漏洞

漏洞描述 Apache Linkis 是一个用于将上层应用与底层数据引擎解耦，提供标准化接口的中间件。该项目受影响版本存在反序列化漏洞，由于ConnectionManager.java中未对dbUrl、username、password等参数进行充分过滤，当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 autoDeserialize 参数为 true（默认false）时，可通过控制 MySQL 服务在客户端执行任意远程代码。漏洞名称 Apache Linkis JDBC EngineConn 插件<1.3.2 存在反序列化漏洞漏洞类型反序列化发现时间 2023-04-11 漏洞影响广度一般 MPS编号 MPS-2023-9421 CVE编号 CVE-2023-29215 CNVD编号 - 影响范围 org.apache.linkis:linkis-engineplugin-jdbc@(-∞, 1.3.2) 修复方案将组件 org.apache.linkis:linkis-engineplugin-jdbc 升级至 1.3.2 及以上...

2023-04-12

551

本次更新特性： 1、操作日志-super 我们把审计日志做的对审计人员和开发更友好，具体见下图：测试或者客户出bug了，如何快速复现呢？只要在表单页面按CTRL+Q 就可以通过日志快速调出最近的请求记录，一键填充参数到表单，更方便复现和调试。 2、表单填充器一个表单开发出来前端和测试要录入多少次呢，这么麻烦的事当然交给程序来做咯！要根据规范填写? so easy! 我们可以根据正则反向生成字符串。我们提供了姓名，手机号，邮箱，用户名等默认生成规则，其他的可以通过正则自己扩展，规则越多，生成的数据越好看。 3、Excel导入组件大家做excel导入什么代码写的最多呢？当然是参数校验，反向翻译(张三->userid 1 ,男->gender 1)，什么你还自己用poi解析excel？只能说原始人你好了。翻花绳提供的excel导入工具类，复用了Easy Trans注解自动做反向翻译、swagger注解做自动列对应，Hibernate Validator注解自动做校验。一个用户导入我只写了下面这些代码。 4、重复校验一个简单的CURD，本来代码生...

2023-04-12

439

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。