Apache 软件基金会已解决 Apache Arrow R 软件包中的一个重要安全漏洞 (CVE-2024-52338)。该漏洞影响 4.0.0 至 16.1.0 版本,攻击者可利用该漏洞在处理恶意制作的数据文件的系统上执行任意代码。
Apache Arrow 是一种用于快速数据交换和内存分析的通用列格式和多语言工具箱。它包含一系列技术,使数据系统能够高效地存储、处理和移动数据。R arrow 软件包可让 R 用户访问 Apache Arrow C++ 库的许多功能。
漏洞详情:
该漏洞源于受影响的 R 软件包版本中的 IPC 和 Parquet 阅读器中不安全的数据反序列化。从用户提供的输入文件等不信任来源读取 Arrow IPC、Feather 或 Parquet 文件的应用程序尤其容易受到攻击。
影响和范围:
利用 CVE-2024-52338 漏洞可能会造成严重后果,使攻击者能够入侵系统并可能在未经授权的情况下访问敏感数据。值得注意的是,该漏洞是 Apache Arrow R 软件包特有的,不会直接影响其他 Apache Arrow 实现或绑定。但是,将这些其他实现与存在漏洞的 R 软件包结合使用的应用程序仍然存在风险。
缓解措施:
Apache 软件基金会敦促用户立即升级到 Apache Arrow R 软件包的 17.0.0 或更高版本。依赖于受影响软件包的下游库也应相应更新其依赖关系。
受影响版本的解决方法:
对于无法立即升级的用户,临时的解决方法是将不受信任的数据读入表,并使用其内部的 to_data_frame() 方法。例如,read_parquet(…, as_data_frame = FALSE)$to_data_frame()。