Apache Linkis, un middleware de computación popular utilizado para conectar aplicaciones con motores de datos, ha lanzado parches de seguridad para abordar tres vulnerabilidades críticas en su módulo DataSource. Estas vulnerabilidades podrían permitir a los atacantes leer archivos arbitrarios, ejecutar código remoto y realizar ataques de inyección Java Naming and Directory Interface (JNDI).
- CVE-2023-49566 (CVSS 8.8): La filtración inadecuada de parámetros también conduce a una vulnerabilidad de inyección JNDI al configurar parámetros DB2 en el módulo DataSource Manager.
- CVE-2023-46801 (CVSS 8.8): Existe una vulnerabilidad de ejecución remota de código en el módulo de gestión de fuentes de datos al agregar fuentes de datos MySQL. Esta vulnerabilidad facilita ataques de deserialización a través de Java Remote Method Protocol (JRMP), lo que permite a los atacantes insertar y ejecutar archivos dañinos en el servidor.
- CVE-2023-41916 (CVSS 6.5): Esta vulnerabilidad permite la lectura arbitraria de archivos debido a una filtración inadecuada de parámetros en el módulo DataSourceManager. Los atacantes podrían explotar esta falla configurando parámetros maliciosos en MySQL Java Database Connectivity (JDBC).
Versiones afectadas:
- Apache Linkis versiones anteriores a la 1.6.0.
Solución:
- Apache Linkis versión 1.6.0 o superior.
Recomendaciones:
- Actualizar lo antes posible Apache Linkis a la versión 1.6.0 para mitigar los riesgos potenciales.
- Restringir el acceso a cuentas autorizadas de Linkis.
- Configurar parámetros de seguridad adicionales para evitar la explotación de vulnerabilidades.
Referencias:
- https://securityonline.info/security-vulnerabilities-in-apache-linkis-expose-systems-to-arbitrary-file-reading-and-rce/
- https://lists.apache.org/thread/0dnzh64xy1n7qo3rgo2loz9zn7m9xgdx
- https://lists.apache.org/thread/dxkpwyoxy1jpdwlpqp15zvo0jxn4v729
- https://lists.apache.org/thread/t68yy52lmv7pxgrxnq6rw7rwvk9tb1xj