关于Apache Avro-rs整数溢出漏洞(CVE-2022-36125)的预警提示

时间:2022-08-12 点击数:

一、漏洞详情

Apache Avro是一个数据序列化系统,可以将数据结构或对象转化成便于存储或传输的格式。Avro-rs是用于在Rust中使用Apache Avro的库。

Apache发布安全公告,修复了Apache Avro-rs中的一个整数溢出漏洞(CVE-2022-36125),由于在Avro Rust SDK中读取损坏的.avro文件时会发生整数溢出,可能导致应用程序崩溃。

此外,Apache Avro-rs中还修复了如下两个漏洞,这些漏洞都影响了使用0.14.0之前的Apache Avro Rust SDK(以前称为Avro-rs)的Rust应用程序:

Apache Avro-rs拒绝服务漏洞(CVE-2022-35724,高危):在Avro Rust SDK中读取数据时,可能导致Reader无休止地循环,耗费CPU,最终导致拒绝服务。

Apache Avro-rs内存过度消耗漏洞(CVE-2022-36124,中危):Avro Rust SDK中存在内存过度消耗问题,Reader可能会消耗超出允许限制的内存,从而导致内存不足。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Apache Avro-rs版本 < 0.14.0

三、修复建议

目前这些漏洞已经修复,受影响用户可升级到Apache Avro-rs版本0.14.0

下载链接:https://crates.io/crates/avro-rs/versions

Copyright © 2020-2025 center , All Rights Reserved 版权所有:信息网络中心 苏ICP备1234123号-000 技术支持:信息网络中心