Версия сайта для слабовидящих
Ранее мы уже писали об уязвимостях Apache NiFi, выявленных и устраненных в 1-ой половине 2023 года. Сегодня рассмотрим еще 3 ошибки, которые были обнаружены и исправлены в последние 6 месяцев уже уходящего года.
Последние 3 уязвимости Apache NiFi во второй половине 2023 года
Помимо ранее рассмотренных уязвимостей, в 2023 году в Apache NiFi также были обнаружены и исправлены еще 3 ошибки. Хронологически первой из них идет уязвимость CVE-2023-36542 — потенциальное внедрение кода со свойствами, ссылающимися на удаленные ресурсы. Эта уязвимость опубликована 29 июля и имеет средний уровень серьезности.
Напомним, серьезность уязвимости определяется участниками разработки NiFi как проекта с открытым исходным кодом по следующим уровням:
- критично – выполнение произвольного кода удаленным злоумышленником;
- высокий уровень — нарушение целостности или доступности из-за недостатка ресурсов;
- средний уровень — требуются специальные настройки конфигурации и значительные меры по снижению риска;
- низкий уровень уязвимости означает ее минимальное воздействие на проект и значительную сложность эксплуатации.
Начиная с версии 0.0.2, Apache NiFi включает в себя процессоры и службы контроллеров, которые поддерживают ссылки на URL-адреса HTTP для получения драйверов, что позволяет аутентифицированному и авторизованному пользователю настроить местоположение, позволяющее выполнять собственный код. Уязвимость затрагивает версии NiFi от 0.0.2 до 1.22.0 и исправлена в выпуске 1.23, главные новинки которого мы разбирали здесь. Исправление вводит новое необходимое разрешение для обращения к удаленным ресурсам, ограничивая настройку этих компонентов привилегированными пользователями. Это разрешение не позволяет непривилегированным пользователям настраивать процессоры и службы контроллеров, снабженные новым ограничением «Справочные удаленные ресурсы».
Следующей по порядку обнаружения (18 августа) стала уязвимость CVE-2023-40037, которая означает неполную проверку URL-адресов подключения JDBC и JNDI. Эта уязвимость также имеет средний уровень серьезности. Начиная с версии с 1.21.0 по 1.23.0, NiFi поддерживает доступ JDBC и JNDI JMS в нескольких службах процессоров и контроллеров с проверкой URL-адреса подключения, которая не обеспечивает достаточную защиту от специально созданных входных данных. Аутентифицированный и авторизованный пользователь может обойти проверку URL-адреса подключения, используя собственное форматирование ввода. Исправление, выпущенное в релизе 1.23.1, улучшает проверку URL-адреса подключения и вводит валидацию дополнительных связанных свойств.
Наконец, 27 ноября текущего года обнаружена уязвимость CVE-2023-49145, которая имеет высокий уровень серьезности. Она связана с неправильной нейтрализацией ввода в расширенном пользовательском интерфейсе для Jolt–преобразований JSON-документов, о которых мы писали здесь. Уязвимость затрагивает версии от 0.7.0 до 1.23.2 и исправлена в релизе 1.24.0. Процессор JoltTransformJSON, который обеспечивает расширенный пользовательский интерфейс настройки, был уязвим для межсайтовых сценариев на основе DOM. Если аутентифицированный пользователь, которому разрешено настраивать процессор JoltTransformJSON, посещает созданный URL-адрес, то произвольный код JavaScript может быть выполнен в контексте сеанса аутентифицированного пользователя.
Пользовательский интерфейс Jolt Transform поддерживает интерактивное тестирование спецификаций Jolt с использованием образцов содержимого JSON. Контроллер пользовательского интерфейса Jolt включает метод инициализации для установки параметров для последующей обработки. Устранение уязвимости включает упрощение первоначальной конфигурации параметров, чтобы избежать ненужного анализа JavaScript.
Узнайте больше про администрирование и использование Apache NiFi для построения эффективных ETL-конвейеров потоковой аналитики больших данных на специализированных курсах в нашем лицензированном учебном центре обучения и повышения квалификации для разработчиков, менеджеров, архитекторов, инженеров, администраторов, Data Scientist’ов и аналитиков Big Data в Москве:
Источники
