【安全资讯】Apache Linkis 安全漏洞暴露系统于任意文件读取和远程代码执行风险

概要：

Apache Linkis 是一种流行的计算中间件，用于连接应用程序与数据引擎。近期，该软件发布了安全补丁，以解决其 DataSource 模块中的三个漏洞。这些漏洞可能允许攻击者读取任意文件、执行远程代码以及进行 JNDI 注入攻击，严重威胁系统安全。

主要内容：

Apache Linkis 近日发布了安全补丁，修复了其 DataSource 模块中的三个严重漏洞。这些漏洞分别是 CVE-2023-41916、CVE-2023-46801 和 CVE-2023-49566。CVE-2023-41916 是一个重要漏洞，因 DataSourceManager 模块中的参数过滤不充分，攻击者可以通过配置恶意的 MySQL JDBC 参数来读取任意文件。

CVE-2023-46801 是一个中等严重的远程代码执行漏洞，存在于数据源管理模块中，特别是添加 MySQL 数据源时。Java 版本低于 1.8.0_241 的系统易受此漏洞影响，攻击者可以通过 JRMP 反序列化攻击注入并执行恶意文件。

CVE-2023-49566 也是一个重要漏洞，因参数过滤不当，在配置 DB2 参数时会导致 JNDI 注入漏洞。这些漏洞虽然需要攻击者拥有授权的 Linkis 账户，但其潜在风险巨大，可能导致敏感文件的未授权访问、远程代码执行和 JNDI 注入。

Apache Linkis 项目强烈建议所有用户立即升级到 1.6.0 版本。此版本包含修复这些漏洞的补丁，从而减轻相关风险，确保数据完整性和系统安全。