关于Apache Linkis JDBC远程代码执行漏洞(CVE-2022-44645)的风险提示

2023-02-02709

一、背景介绍

近日,市委网信办技术支撑单位监测到Apache Linkis发布了安全公告,修复了Apache Linkis JDBC远程代码执行漏洞(CVE-2022-44645)。

1.1 漏洞描述

Apache Linkis(incubating)DatasourceManager 模块存在序列化攻击漏洞。在Apache Linkis <=1.3.0 中,当与MySQL Connector/J一起使用时,当攻击者具有对数据库的写入权限并使用MySQL数据源和恶意参数配置新数据源时,存在可能影响远程代码执行的反序列化漏洞。

1.2 漏洞编号

CVE-2022-44645

1.3漏洞等级

高危


二、修复建议

2.1 受影响版本

Apache Linkis <= 1.3.0

2.2 修复建议

目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。 

下载链接:https://linkis.apache.org/zh-CN/download/main/