BDU:2024-05289

Опубликовано: 13 июл. 2024

Источник: fstec

CVSS3: 6.5

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость модуля управления базами данных программного средства соединения, управления и оркестрации приложений Apache Linkis связана с использованием файлов и каталогов, доступных внешним сторонам. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию

Вендор

Apache Software Foundation

Наименование ПО

Linkis

Версия ПО

от 1.4.0 до 1.6.0 (Linkis)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;

- использование виртуальных частных сетей для организации удаленного доступа (VPN);

- использование систем обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости;

- минимизация пользовательских привилегий;

- отключение/удаление неиспользуемых учётных записей пользователей.

Использование рекомендаций производителя:

https://lists.apache.org/thread/dxkpwyoxy1jpdwlpqp15zvo0jxn4v729

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://lists.apache.org/thread/dxkpwyoxy1jpdwlpqp15zvo0jxn4v729

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-41916
CVE

EPSS

Процентиль: 46%

0.00232

Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2023-41916

CVSS3: 6.5

nvd

больше 1 года назад

In Apache Linkis =1.4.0, due to the lack of effective filtering of parameters, an attacker configuring malicious Mysql JDBC parameters in the DataSource Manager Module will trigger arbitrary file reading. Therefore, the parameters in the Mysql JDBC URL should be blacklisted. This attack requires the attacker to obtain an authorized account from Linkis before it can be carried out. Versions of Apache Linkis = 1.4.0 will be affected. We recommend users upgrade the version of Linkis to version 1.5.0.

GHSA-f22j-9j59-33j4

CVSS3: 6.5

github

больше 1 года назад

Apache Linkis DataSource allows arbitrary file reading

EPSS

Процентиль: 46%

0.00232

Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2