0x01漏洞状态

漏洞细节

漏洞POC

漏洞EXP

在野利用

未知

未知

未知

0x02漏洞描述

Apache Avro是一种远程过程调用和数据序列化框架,是在Apache的Hadoop项目之内开发的。它使用JSON来定义数据类型和通讯协议,使用压缩二进制格式来序列化数据。

2022年1月7日,360漏洞云团队监测到Apache发布安全公告,修复了一个Apache Avro中的拒绝服务漏洞。漏洞编号:CVE-2021-43045,漏洞威胁等级:中危。

Apache Avro 拒绝服务漏洞

Apache Avro 拒绝服务漏洞

漏洞编号

CVE-2021-43045

漏洞类型

拒绝服务

漏洞等级

中危

公开状态

未知

在野利用

未知

漏洞描述

该漏洞是由于Apache Avro 的 .NET SDK 没有正确控制内部资源的消耗而存在的。远程攻击者可以触发资源耗尽并执行拒绝服务 (DoS) 攻击。

0x03漏洞等级

中危

0x04影响版本

Apache Avro <=1.10.2

0x05修复建议

厂商已发布补丁修复漏洞,用户请尽快更新至安全版本1.11.0,补丁下载链接如下:

https://avro.apache.org/releases.html#27+October+2021%3A+Avro+1.11.0+Released

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。