Apache Thrift远程命令注入漏洞(CVE-2016-5397)

Apache Thrift远程命令注入漏洞(CVE-2016-5397)


发布日期:2018-02-13
更新日期:2018-03-02

受影响系统:

Apache Group Thrift <= 0.9.3

描述:


BUGTRAQ  ID: 103025
CVE(CAN) ID: CVE-2016-5397

Apache Thrift 是Facebook 实现的一种高效的、支持多种编程语言的远程服务调用的框架。

Apache Thrift 0.9.3及之前版本在实现上存在远程命令注入漏洞,攻击者利用此漏洞可在受影响应用上下文中注入并执行任意代码。

<*来源:Jake Farrell
  *>

建议:


厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://mail-archives.apache.org/mod_mbox/thrift-user/201701.mbox/raw/%3CCANyrgvc3W%3DMJ9S-hMZecPNzxkyfgNmuSgVfW2hdDSz5ke%2BOPhQ%40mail.gmail.com%3E
http://www.apache.org/
https://issues.apache.org/jira/browse/THRIFT-3893

相关推荐