Apache Ignite 高危漏洞预警:攻击者可执行任意代码

Apache Ignite 的开发团队近日在 Apache 邮件列表上发布了一个高危漏洞(CVE-2014-0114)预警,所有 Ignite 2.4 及更早之前的版本都会受到影响。

据悉,Apache Ignite 使用了 commons-beanutils-1.8.3.jar 库,由于该库不禁止类属性(class property),导致远程攻击者可通过类参数“操作” ClassLoader 并执行任意代码。当 Ignite 的类路径包含易受攻击的类时,攻击者可以在 Ignite 节点上执行任意代码。

开发团队建议用户确保在 Apache Ignite 中使用的自定义代码中没有易受攻击的类,如果有,应尽快升级至 Ignite 2.5 或更高版本。

Apache Ignite 是一个以内存为中心的分布式数据组织框架,通常用于事务性、分析性和流工作负载的缓存和处理。

  • 发表于:
  • 原文链接https://www.oschina.net/news/96728/apache-ignite-is-vulnerable
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券