最近两、三个月,Apache基金会对于旗下项目修补安全漏洞,而且有不少是重大层级相当危险,最近有安全新闻媒体报道该基金会修补数据库软件的情形,引起我们的注意。

2月14日Apache基金会指出,旗下的分布式数据库Ignite存在重大层级安全漏洞CVE-2024-52577,服务器节点反串行化来源消息的过程里,有可能让攻击者远程执行任意程序代码(RCE),第4版CVSS风险评分为9.5(满分10分)。对此,该基金会发布2.17.0版修补。

这项弱点的影响范围,为2.6.0至2.16.0版Ignite,原因是部分Ignite端点会忽略完成设置的类别串行化过滤器(Class Serialization Filter)。攻击者使用存在弱点的对象,打造特定的Ignite消息并发送到服务器端点,一旦Ignite服务器反串行化这种消息,攻击者就有机会于服务器执行任意程序代码。