07 de octubre de 2024Ravie LakshmananCódigo abierto/seguridad de software Se ha revelado una falla de seguridad crítica en el kit de desarrollo de software (SDK) Java de Apache Avro que, si se explota con éxito, podría permitir la ejecución de código arbitrario en instancias susceptibles. La falla, identificada como CVE-2024-47561, afecta a todas las versiones del software anteriores a la 1.11.4. «El análisis de esquemas en el SDK de Java de Apache Avro 1.11.3 y versiones anteriores permite a los malos actores ejecutar código arbitrario», dijeron los mantenedores del proyecto en un aviso publicado la semana pasada. «Se recomienda a los usuarios actualizar a la versión 1.11.4 o 1.12.0, que soluciona este problema». Apache Avro, análogo a Protocol Buffers (protobuf) de Google, es un proyecto de código abierto que proporciona un marco de serialización de datos neutral en cuanto al idioma para el procesamiento de datos a gran escala. El equipo de Avro señala que la vulnerabilidad afecta a cualquier aplicación si permite a los usuarios proporcionar sus propios esquemas Avro para su análisis. A Kostya Kortchinsky, del equipo de seguridad de Databricks, se le atribuye el mérito de descubrir e informar la deficiencia de seguridad. Como mitigación, se recomienda desinfectar los esquemas antes de analizarlos y evitar analizar los esquemas proporcionados por el usuario. «CVE-2024-47561 afecta a Apache Avro 1.11.3 y versiones anteriores al deserializar la entrada recibida a través del esquema avroAvro», dijo Mayuresh Dani, gerente de investigación de amenazas en Qualys, en un comunicado compartido con The Hacker News. «Procesar dicha entrada de un actor de amenazas conduce a la ejecución de código. Según nuestros informes de inteligencia de amenazas, no hay PoC disponible públicamente, pero esta vulnerabilidad existe mientras se procesan paquetes a través de las directivas ReflectData y SpecificData y también puede explotarse a través de Kafka». «Dado que Apache Avro es un proyecto de código abierto, lo utilizan muchas organizaciones. Según datos disponibles públicamente, la mayoría de estas organizaciones están ubicadas en los EE. UU. Esto definitivamente tiene muchas implicaciones de seguridad si no se parchea, no supervisa y desprotege. » ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.