一���、漏洞詳情
Apache IoTDB(Internet of Things Database)是一個(gè)專(zhuān)為物聯(lián)網(wǎng)數(shù)據(jù)存儲(chǔ)和處理設(shè)計(jì)的高效時(shí)序數(shù)據(jù)庫(kù)���。
近日��,監(jiān)測(cè)到Apache官方發(fā)布的安全公告���,指出Apache IoTDB存在遠(yuǎn)程代碼執(zhí)行漏洞��。攻擊者可以通過(guò)不可信的URI注冊(cè)惡意的用戶(hù)定義函數(shù)(UDF),進(jìn)而執(zhí)行任意代碼�����。該漏洞影響Apache IoTDB版本1.0.0至1.3.4��,攻擊者需要具備創(chuàng)建UDF的權(quán)限才能利用此漏洞。成功利用該漏洞可能導(dǎo)致系統(tǒng)遭受遠(yuǎn)程控制��,嚴(yán)重威脅系統(tǒng)安全���。
建議受影響用戶(hù)做好資產(chǎn)自查以及預(yù)防工作���,以免遭受黑客攻擊。
二��、影響范圍
1.0.0<=Apache IoTDB<1.3.4
三�、修復(fù)建議
官方已發(fā)布安全更新����,建議受影響用戶(hù)盡快升級(jí)到Apache IoTDB 1.3.4版本���。