7*24小时技术支持
海外CN2服务器(客服1)
近日,网络应急团队监测到Apache发布安全公告,修复了一个存在于Apache NiFi 中的命令注入漏洞。Apache NiFi 1.10.0 到 1.16.2 和 Apache NiFi Registry 0.6.0 到 1.16.2 中的可选 ShellUserGroupProvider 不会中和组解析命令的参数,从而允许在 Linux 和 macOS 平台上注入操作系统命令。
ShellUserGroupProvider 不包含在默认配置中。命令注入要求 ShellUserGroupProvider 是授权方配置中启用的用户组提供程序之一。命令注入还需要具有提升权限的经过身份验证的用户。Apache NiFi需要经过身份验证的用户授权修改访问策略以执行命令。Apache NiFi Registry 需要经过身份验证的用户授权读取用户组才能执行命令。
【受影响版本】
1.10.0 <= Apache NiFi <= 1.16.2
0.6.0 <= Apache NiFi Registry <= 1.16.2
【安全版本】
Apache NiFi 1.16.3
Apache NiFi Registry 1.16.3
Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。
Copyright 2009-2022 HKBGP Network
