Apache Submarine 存在反序列化漏洞
漏洞描述
Apache Submarine是一个端到端的机器学习平台,允许数据科学家创建完整的机器学习工作流程,涵盖数据探索、数据管道创建、模型训练、服务以及监控的每个阶段。
Apache Submarine在YamlEntityProvider.java中使用 snakeyaml 反序列化yaml 格式的请求。在请求如/api/v1/serve/的接口时,Apache Submarine使用的JAX-RS框架会查找到YamlEntityProvider.java里设置的消息转换器,并最终调用到readFrom函数里的 yaml.loadAs进行反序列化。
漏洞的修复方式为把 snakeyaml 组件替换成jackson-dataformat-yaml。
| 漏洞名称 | Apache Submarine 存在反序列化漏洞 |
|---|---|
| 漏洞类型 | 反序列化 |
| 发现时间 | 2023-11-19 |
| 漏洞影响广度 | - |
| MPS编号 | MPS-qp4a-wcgl |
| CVE编号 | CVE-2023-46302 |
| CNVD编号 | - |
影响范围
org.apache.submarine:submarine-server@[0.7.0, 0.8.0)
修复方案
将 org.apache.submarine:submarine-server 升级至 0.8.0 及以上版本
将代码cherry-pick https://github.com/apache/submarine/pull/1054然后重新构建submart-server镜像完成修复
参考链接
https://www.oscs1024.com/hd/MPS-qp4a-wcgl
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
HandBrake 1.7.0 发布,多功能视频转码工具
HandBrake 1.7.0 现已发布。HandBrake 是一款适用于 Linux、Mac 和 Windows 的开源视频转码器。 Upgrade Notice 在更新 HandBrake 之前,请确保队列中没有待处理的编码,并确保备份你拥有的任何自定义预设和应用首选项,因为它们可能与新版本不兼容。Windows 用户,请确保安装Microsoft .NET Desktop Runtime version 6.0.x。Read carefully:你需要DESKTOPruntime。即使你已经安装了 .NET 7,也必须安装 .NET 6。 HandBrake 1.7.0 General 添加了 Apple VideoToolbox hardware presets 更新了 Creator presets 禁用隔行检测和删除;假设创作者默认使用progressive sources 更新了Social preset 在更短的时间内实现更高的质量和帧速率,无需隔行检测和删除 更适合实时社交短片和屏幕/游戏捕获的现代社交共享 删除了 Email presets,以支持修订后的 Soci...
- 下一篇
Apache Derby LDAP 注入漏洞
漏洞描述 Apache Derby 是开源的关系型数据库管理系统。 受影响版本中,由于 LDAPAuthenticationSchemeImpl#getDNFromUID 方法未对用户可控的 uid 参数进行过滤,当 Apache Derby 启用 Ldap 身份认证时(默认不启用,可通过配置 derby.authentication.provider 为 LDAP 启用),攻击者可构造包含恶意用户名的 Ldap 请求绕过认证控制,执行目标系统中Derby服务器帐户有权访问和执行的恶意软件。对于不受 GRANT/REVOKE 授权保护的数据库,攻击者可利用该漏洞未经授权的访问和修改数据库中的敏感数据。 漏洞名称 Apache Derby LDAP 注入漏洞 漏洞类型 LDAP注入 发现时间 2023-11-20 漏洞影响广度 一般 MPS编号 MPS-2022-65764 CVE编号 CVE-2022-46337 CNVD编号 - 影响范围 derby@[10.1.1.0, 10.17.1.0) derby@影响所有版本 修复方案 升级derby到 10.17.1.0 或更高版本同时将...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Hadoop3单机部署,实现最简伪集群
- CentOS8编译安装MySQL8.0.19
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS关闭SELinux安全模块
- CentOS7设置SWAP分区,小内存服务器的救世主
- Docker快速安装Oracle11G,搭建oracle11g学习环境
微信收款码
支付宝收款码