99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

安全通告

Apache NiFi 命令注入漏洞風(fēng)險(xiǎn)通告

發(fā)布日期：2022-6-17

?

漏洞描述

Apache NiFi是美國(guó)阿帕奇（Apache）基金會(huì)的一套數(shù)據(jù)處理和分發(fā)系統(tǒng)。該系統(tǒng)主要用于數(shù)據(jù)路由、轉(zhuǎn)換和系統(tǒng)中介邏輯。2022年6月15日，Apache發(fā)布安全公告，修復(fù)了一個(gè)存在于Apache NiFi 中的命令注入漏洞。

漏洞編號(hào)

CVE-2022-33140

漏洞危害

Apache NiFi 1.10.0 到 1.16.2 和 Apache NiFi Registry 0.6.0 到 1.16.2 中的可選 ShellUserGroupProvider 不會(huì)中和組解析命令的參數(shù)，從而允許在 Linux 和 macOS 平臺(tái)上注入操作系統(tǒng)命令。

要求：

1.ShellUserGroupProvider 是 Authorizers 配置中啟用的用戶組提供者之一。

2.具有提升權(quán)限的經(jīng)過(guò)身份驗(yàn)證的用戶。

（1）Apache NiFi 需要經(jīng)過(guò)身份驗(yàn)證的用戶有權(quán)修改訪問(wèn)策略以執(zhí)行命令。

（2）Apache NiFi Registry 需要經(jīng)過(guò)身份驗(yàn)證的用戶有權(quán)讀取用戶組來(lái)執(zhí)行命令。

漏洞等級(jí)

高危

受影響版本

Apache NiFi – Apache

>=1.10.0&&<=1.16.2

Apache NiFi Registry – Apache

>=0.6.0 &&<=1.16.2

修復(fù)方案

廠商已發(fā)布補(bǔ)丁修復(fù)漏洞，用戶請(qǐng)盡快更新至安全版本：

NiFi 和 NiFi Registry 版本 1.16.3

與此同時(shí)，請(qǐng)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

參考鏈接

• https://nifi.apache.org/security.html#CVE-2022-33140