Vulnérabilités dans Apache Storm
Date de publication :
Le testeur Alvaro Munos, du laboratoire de sécurité Github, à découvert deux vulnérabilités concernant Apache Storm. Ces deux vulnérabilités peuvent être exploitées pour effectuer une exécution de code arbitraire.
CVE-2021-40865[Score CVSS v3.1: 9,8]
La vulnérabilité concerne un problème du type « désérialisation de données non sécurisée ». Celui-ci est situé au niveau de la désérialisation des services d’Apache Storm. La sérialisation consiste à convertir une structure de données exportable en série de bits à des fins de stockage ou de transport. La désérialisation est le processus inverse. Un attaquant distant et authentifié peut intégrer des bits malveillants dans le processus de désérialisation si celui-ci n’est pas protégé. Lorsque les bits malveillants sont convertis en données pour la programmation, ils permettent l’exécution de code arbitraire.
CVE-2021-38294[Score CVSS v3.1: 9,8]
Une vulnérabilité de type « injection de commande » malveillante a été trouvé. Elle est située dans la classe getTopologyhystory d’Apache Storm. Un attaquant distant peut exploiter cette vulnérabilité, via une requête forgée qui est envoyée au serveur Nimbus, pour exécuter du code arbitraire sur le système vulnérable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Téléchargement de fichier malveillant
- Injection de commande
- Accès non-autorisé
Criticité
- Score CVSS v3.1: 9.8 max
CVE
Composants vulnérables.
Les versions suivantes sont vulnérables :
- La version Apache Storm 1.0.0
- La version Apache Storm 2.1.0
- La version Apache Storm 2.2.0
Solutions ou recommandations
- Pour la version Apache Storm 1.X effectuer la mise à jour 1.2.4
- Pour la version Apache Storm 2.1.X effectuer la mise à jour 2.1.1
- Pour la version Apache Storm 2.2.X effectuer la mise à jour 2.1.1 ou 2.3.0