棱镜七彩安全预警

近日网上有关于开源项目Apache Heron CRLF日志注入漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Apache Heron是Twitter开发的分布式流处理引擎。

项目主页

Apache Heron · A realtime, distributed, fault-tolerant stream processing engine

代码托管地址

https://github.com/apache/incubator-heron/

CVE编号

CVE-2021-42010

漏洞情况

Apache Heron是Twitter开发的分布式流处理引擎。

在Apache Heron <0.20.5-incubating 版本中由于日志语句中缺少转义导致存在CRLF日志注入漏洞,攻击者可利用此漏洞伪造日志。

受影响的版本

org.apache.heron:heron-api@[0.20.1-incubating-rc1, 0.20.5-incubating)

修复方案

升级org.apache.heron:heron-api到 0.20.5-incubating 或更高版本

链接地址:

NVD - CVE-2021-42010

oss-sec: CVE-2021-42010: Apache Heron (Incubating): CRLF log injection

https://github.com/apache/incubator-heron/pull/3749/commits/143768b23d8ecc24a04bf5686e9933fa180e4cbf

 

# apache
Logo
AtomGit 开源协作平台测评赛

瓜分20万奖金 获得内推名额 丰厚实物奖励 易参与易上手

更多推荐

cover

C#联合Halcon深度学习源代码分享1 预处理图像2图像识别测试3误差分析(含导入步骤文档,含中文注释) (附源码链接)

avatar 开放原子开发者工作坊

Git基础命令学习

git基础命令学习笔记git init 命令目录变成 Git 可以管理的仓库git add 把文件添加到仓库(可多次add不同的文件)git commit 把文件提交到仓库git satus 命令查看状态,可以让我们时刻掌握仓库当前的状态git diff可以看到指定文件的修改内容

avatar 开放原子开发者工作坊
cover

SpringBoot01:Hello,World

avatar 开放原子开发者工作坊