漏洞情报 | Apache NiFi 多个漏洞通告(CVE-2023-34468、CVE-2023-34212)

漏洞情报 | Apache NiFi 多个漏洞通告(CVE-2023-34468、CVE-2023-34212)
2023-6-15 11:40:2 Author: mp.weixin.qq.com(查看原文) 阅读量:14 收藏

1.1 漏洞概述

2023 年 6 月 13 日，斗象科技漏洞情报中心监控到Apache NiFi发布发布了安全通告，修复了 2 个安全漏洞。斗象漏洞情报中心研究员紧急对发布的安全漏洞进行分析复现，并推出针对性的修复建议。

Apache NiFi是一个易于使用、强大、可靠的系统，用于处理和分发数据。它支持强大和可扩展的数据路由、转换和系统中介逻辑的有向图。

1.2 影响范围

CVE编号	影响范围
CVE-2023-34212	1.8.0 <= Apache NiFi <= 1.21.0
CVE-2023-34468	0.0.2 <= Apache NiFi <= 1.21.0

1.3 复现环境

Apache NiFi 1.21.0

1.4 漏洞复现

>> 1.4.1 Apache NiFi JMS JNDI 反序列化漏洞(CVE-2023-34212)

Apache NiFi 的 JndiJmsConnectionFactoryProvider控制器服务可以让经过身份验证和授权的用户设置URL和库属性，这些属性会让 ConsumeJMS 和 PublishJMS 处理器用来从远端获取数据进行反序列化利用。

>> 1.4.2 Apache NiFi H2 JDBC 远程代码执行漏洞(CVE-2023-34468)

Apache NiFi 中的 DBCPConnectionPool 和 HikariCPConnectionPool 控制器服务允许经过认证和授权的用户用H2驱动配置数据库URL，从而实现自定义代码执行。

1.5 修复建议

>> 1.5.1 版本升级

厂商已发布了漏洞修复程序，安全版本如下：

Apache NiFi >= 1.22.0

官方下载地址：

https://github.com/apache/nifi/releases/tag/rel%2Fnifi-1.22.0

若访问官网较慢，可访问斗象情报中心搭建的补丁站进行下载更新包：

https://vip.tophant.com/patch?keyword=Apache/Apache%20NiFi/Apache%20NiFi%20%e5%a4%9a%e4%b8%aa%e6%bc%8f%e6%b4%9e%e9%80%9a%e5%91%8a(CVE-2023-34468%e3%80%81CVE-2023-34212)/1.22.0/

1.6 参考链接

https://lists.apache.org/thread/w5rm46fxmvxy216tglf0dv83wo6gnzr5

文章来源: https://mp.weixin.qq.com/s?__biz=MzIwMjcyNzA5Mw==&mid=2247491072&idx=1&sn=f82a158b44f65fc68af647a4489ec261&chksm=96db15daa1ac9ccc0df6a5fc1bea8ac3643e0d1ae358930b9ef905e69a74ba40771fce6d531c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh