漏洞预警|Apache Heron CRLF日志注入漏洞
近日网上有关于开源项目Apache Heron CRLF日志注入漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
棱镜七彩安全预警
近日网上有关于开源项目Apache Heron CRLF日志注入漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Apache Heron是Twitter开发的分布式流处理引擎。
项目主页
Apache Heron · A realtime, distributed, fault-tolerant stream processing engine
代码托管地址
https://github.com/apache/incubator-heron/
CVE编号
漏洞情况
Apache Heron是Twitter开发的分布式流处理引擎。
在Apache Heron <0.20.5-incubating 版本中由于日志语句中缺少转义导致存在CRLF日志注入漏洞,攻击者可利用此漏洞伪造日志。
受影响的版本
org.apache.heron:heron-api@[0.20.1-incubating-rc1, 0.20.5-incubating)
修复方案
升级org.apache.heron:heron-api到 0.20.5-incubating 或更高版本
链接地址:
oss-sec: CVE-2021-42010: Apache Heron (Incubating): CRLF log injection
https://github.com/apache/incubator-heron/pull/3749/commits/143768b23d8ecc24a04bf5686e9933fa180e4cbf
更多推荐
所有评论(0)