Apache Arrow PyArrow 任意代码执行
2023-11-13 21:40 栏目: 安全预警 查看()
漏洞描述
Apache Arrow是一个跨语言的开发平台,PyArrow是Apache Arrow的Python库,为Apache Arrow的C++实现提供了Python API。 由于Apache Arrow 的 PyArrow从不受信任的源读取Arrow IPC、Feather或Parquet数据,PyExtensionType创建了自动加载功能允许从非PyArrow的源反序列化数据。当使用PyExtensionType创建PyArrow特定的扩展类型时,攻击者可以构造恶意的Arrow IPC、Feather或Parquet数据,造成恶意代码执行。
受影响产品或系统
PyArrow >= 0.14.0PyArrow <= 14.0.0
解决方案
修复方案:
官方已修复该漏洞,建议用户更新到安全版本。
安全版本:
14.0.1
参考链接:
https://github.com/apache/arrow/pull/38608
缓解方案:
如果无法升级,官方提供了一个单独的软件包“pyarrow-hotfix”,可以禁用旧版 PyArrow 上的漏洞。 请参阅 https://pypi.org/project/pyarrow-hotfix/ 了解说明
补丁信息
CPE
扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
24小时咨询热线:400-833-8523
郑重申明:网驭数安以外的任何单位或个人,不得使用该案例作为工作成功展示!
- 在线咨询
- 400-833-8523
-
微信二维码
-
移动版官网