安科网

Apache Thrift远程命令注入漏洞(CVE-2016-5397)

infoscienceliu

infoscienceliu

2018-03-02

关注 关注
Apache Thrift远程命令注入漏洞(CVE-2016-5397)


发布日期:2018-02-13
更新日期:2018-03-02

受影响系统:

Apache Group Thrift <= 0.9.3

描述:

BUGTRAQ  ID: 103025
CVE(CAN) ID: CVE-2016-5397

Apache Thrift 是Facebook 实现的一种高效的、支持多种编程语言的远程服务调用的框架。

Apache Thrift 0.9.3及之前版本在实现上存在远程命令注入漏洞,攻击者利用此漏洞可在受影响应用上下文中注入并执行任意代码。

<*来源:Jake Farrell
  *>

建议:

厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://mail-archives.apache.org/mod_mbox/thrift-user/201701.mbox/raw/%3CCANyrgvc3W%3DMJ9S-hMZecPNzxkyfgNmuSgVfW2hdDSz5ke%2BOPhQ%40mail.gmail.com%3E
http://www.apache.org/
https://issues.apache.org/jira/browse/THRIFT-3893

thrift apache 注入漏洞

infoscienceliu

infoscienceliu

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

搜狗开源srpc,C++通用RPC框架

今年 7 月底,搜狗公司开源了内部的工业级 C++ 服务器引擎 Workflow。现如今,搜狗又宣布开源 Workflow 的生态项目——srpc,一个基于 Workflow 打造的轻量级 RPC 框架。srpc 与 thrift/brpc 是协议与 ID

Runtimeclass 2020-10-20

高性能、低开发门槛,搜狗开源轻量级RPC框架srpc

不久之前,搜狗开源了一个轻量级的 RPC 框架——srpc。这是一个基于 Sogou C ++ Workflow 的 RPC 项目,通过解析部分 IDL 和进行代码生成,实现了与 workflow 底层通信框架的对接和非常简洁的用户接口。srpc 整个项目

Martian 2020-10-13

基于 Thrift + Laravel RPC 调用实现

 在thrift项目根目录下新增一个thrift子目录,然后在该子目录下创建 Thrift IDL 文件org.thrift,用于定义和用户相关的服务接口:。在服务接口实现中,我们通过传入参数查询数据库并返回对应的记录,这里为了简化逻辑,我们直接返回,将参

jerry00 2020-06-11

Thrift框架-安装

去apache官网下载Thrift脚本编译程序,window则下载一个exe文件,然后将文件的路径设置在系统环境变量path即可

Ggaomiss 2020-05-11

「Spark」Spark SQL Thrift Server运行方式

Spark SQL可以使用JDBC/ODBC或命令行接口充当分布式查询引擎。这种模式,用户或者应用程序可以直接与Spark SQL交互,以运行SQL查询,无需编写任何代码。

infoscienceliu 2020-02-01

使用rpc(facebook thrift)与tomcat 端通信

thrift中使用struct 来声明一个结构体,这等同与面向对象语言中的类定义。   使用thrift-0.10.0.exe -gen java Test.thrift生成Java代码。public RemoteServlet() {//LoginMan

风之翊 2019-12-29

VIP_OSP--基于Thrift的RPC框架的基本原理

公司从2015年开始在内部推动Venus框架的使用,这是一款基于Apache Thrift远程调用框架二次开发的高性能、高可扩展的、服务治理的RPC框架。服务端使用IDL进行服务的定义,客户端集成服务的SDK即可调用服务端的服务,开发简单,大部分的公共功能

XiaoqiangNan 2020-01-08

Apache Thrift系列详解(二) - 网络服务模型

Thrift提供的网络服务模型:单线程、多线程、事件驱动,从另一个角度划分为:阻塞服务模型、非阻塞服务模型。TServer定义了静态内部类Args,Args继承自抽象类AbstractServerArgs。AbstractServerArgs采用了建造者模

jerry00 2020-01-08

Thrift RPC实战(三) thrift序列化揭秘

本文主要讲解Thrift的序列化机制, 看看thrift作为数据交换格式是如何工作的?1). 首先我们先来定义下thrift的简单结构.required修饰符你肯定能猜测到它的意义, 但是你是否有没有这样的疑惑, “1”, “2” 这些数字标识符究竟有何含

Ggaomiss 2019-12-14

在Swoole环境下运行注入Yii2框架的thrift应用

前两天发布了使用swoole来运行thrift应用,项目虽然可以运行起来,但是周边的生态并没有跟上,实际上开发体验比较差。周末研究了一下,把Yii2框架集成到了thrift应用上。这些支持是提高thrift应用开发效率的保证,毕竟没有人会直接在生产环境下手

程序媛菜鸟 2019-11-19

使用swoole运行thrift服务

Swoole 可以广泛应用于互联网、移动通信、企业软件、云计算、网络游戏、物联网、车联网、智能家居等领域。使用 PHP + Swoole 作为网络通信框架,可以使企业 IT 研发团队的效率大大提升,更加专注于开发创新产品。thrift官方提供的PHP服务端

jerry00 2019-11-19

HBase Thrift with Python (Kerberos)

本文内容是基于 Centos 7、HDP 3.0.0、HBase 2.0.0、Python 2.7 环境下,其他环境的童鞋选择性进行参考。yum install -y automake libtool flex bison pkgconfig gcc-c+

lvwenyuan 2019-11-18

thrift 增加跨语言的调用链【TODO】

日常在工作中会遇到这样的问题,PHP 通过 thrift 接口调用 java 服务,java 通过dubbo 接口调用java 的另外一个服务。或者 没有形成完整的调用过程路径,或者无法追踪来源。在上个星期中,突然我负责管理的一个java 服务,短时间内大

infoscienceliu 2019-11-17

Thrift简介以及服务器和客户端的编写运行演示

第一部分:thrift的基本介绍以及安装1.1 简介 thrift是一个软件框架,用来进行可扩展且跨语言的服务的开发。它结合了功能强大的软件堆栈和代码生成引 擎,以构建在 C++, Java, Python, PHP, Ruby, Erlang, Perl

hyclq 2015-05-17

Apache Thrift 官方文档等资料(持续更新)

Apache Thrift 官网:http://thrift.apache.org/ Apache Thrift :http://jnb.ociweb.com/jnb/jnbJun2009.html Thrift Wiki :http:

XiaoqiangNan 2015-08-18

从零开始基于go-thrift创建一个RPC服务

Thrift 是一种被广泛使用的 rpc 框架,可以比较灵活的定义数据结构和函数输入输出参数,并且可以跨语言调用。为了保证服务接口的统一性和可维护性,我们需要在最开始就制定一系列规范并严格遵守,降低后续维护成本。Thrift开发流程是:先定义IDL,使用t

infoscienceliu 2019-11-09

RPC(一):thrift 框架 go语言开发

1、写 thrift 文件定义好 service :方法、入参出参2、生成 代码并发包3、编写 server 端实现4、本地启动server端,进行测试5、打包启动 rpc 服务

Martian 2019-11-08

Mac下安装Thrift 以及问题解决

今天遇到 thrift 的需求,于是安装了一下 Apache 的 Thrift,发现安装过程很艰辛,把遇到的坑整理一下,让你们减少浪费一些时间。但是这个方法只能安装 brew 中存在的版本,当前只有最新版 0.12.0 和 0.9.0 这两个版本,如果想安

XiaoqiangNan 2019-11-04

CentOS环境非联网状态下thrift的安装

在网上有很多介绍thrift安装的方法,但是大多都是基于机器联网的情况下使用yum或者apt-get进行安装。在某些情况下,节点环境中不能连接外网。这个时候安装起来就比较麻烦了。首先将系统对应iso文件映射到一个目录,比如映射到/mnt/isorom。(在

AReallyMan 2019-07-13

Thrift + Curator实现服务注册与发现功能

文章讲解如何使用Thrift和Curator实现自己的服务注册与发现功能,服务注册中心使用Zookeeper框架。业务服务接口通过Thrift的IDL进行描述,并使用Thrift提供的工具编译生成接口文件。根据自定义注解类扫描和加载业务服务实现类。

hyclq 2018-12-24
infoscienceliu

infoscienceliu

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号