一、漏洞详情
Apache Avro是一个数据序列化系统,可以将数据结构或对象转化成便于存储或传输的格式。Avro-rs是用于在Rust中使用Apache Avro的库。
Apache发布安全公告,修复了Apache Avro-rs中的一个整数溢出漏洞(CVE-2022-36125),由于在Avro Rust SDK中读取损坏的.avro文件时会发生整数溢出,可能导致应用程序崩溃。
此外,Apache Avro-rs中还修复了如下两个漏洞,这些漏洞都影响了使用0.14.0之前的Apache Avro Rust SDK(以前称为Avro-rs)的Rust应用程序:
Apache Avro-rs拒绝服务漏洞(CVE-2022-35724,高危):在Avro Rust SDK中读取数据时,可能导致Reader无休止地循环,耗费CPU,最终导致拒绝服务。
Apache Avro-rs内存过度消耗漏洞(CVE-2022-36124,中危):Avro Rust SDK中存在内存过度消耗问题,Reader可能会消耗超出允许限制的内存,从而导致内存不足。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Apache Avro-rs版本 < 0.14.0
三、修复建议
目前这些漏洞已经修复,受影响用户可升级到Apache Avro-rs版本0.14.0。
下载链接:https://crates.io/crates/avro-rs/versions