Apache Avro-rs整数溢出漏洞

1. 通告信息

近日，安识科技A-Team团队监测到一则 Apache Avro-rs整数溢出漏洞的信息，漏洞编号：CVE-2022-36125，漏洞威胁等级：高危。

该漏洞是由于 由于在Avro Rust SDK中读取损坏的.avro文件时会发生整数溢出，可能导致应用程序崩溃。

对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

CVE：CVE-2022-36125

简述：Apache Avro 是一个数据序列化系统，可以将数据结构或对象转化成便于存储或传输的格式。Avro-rs是用于在Rust中使用Apache Avro的库。由于在Avro Rust SDK中读取损坏的.avro文件时会发生整数溢出，可能导致应用程序崩溃。

3. 漏洞危害

由于在Avro Rust SDK中读取损坏的.avro文件时会发生整数溢出，可能导致应用程序崩溃。

4. 影响版本

目前受影响的Apache Avro-rs版本：

Apache Avro-rs版本 < 0.14.0

5. 解决方案

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：https://crates.io/crates/avro-rs/versions

6. 时间轴

【-】2022年08月09日 安识科技A-Team团队监测到Apache Avro-rs整数溢出漏洞信息

【-】2022年08月10日 安识科技A-Team团队根据漏洞信息分析

【-】2022年08月11日 安识科技A-Team团队发布安全通告