CVE-2023-31039漏洞修复
bRPC CVE-2023-31039 漏洞修复报告
概述:
本报告介绍了我们在 bRPC 项目代码中发现的 CVE-2023-31039 安全漏洞的修复情况。
漏洞描述:
该漏洞涉及在所有平台上的Apache bRPC < 1.5.0版本中,允许攻击者通过ServerOptions::pid_file 执行任意代码。
触发条件:
根据用户的输入来设置 brpc::ServerOptions::pid_file
解决方案:
我们已经修复了该漏洞,用户可通过以下方式规避此漏洞所带来的安全风险:
- 升级到 bRPC >= 1.5.0,下载链接: https://dist.apache.org/repos/dist/release/brpc/1.5.0/
- 如果您使用的是旧版本的 bRPC,并且很难升级,您可以应用此修补程序: https://github.com/apache/brpc/pull/2218
结论:
该漏洞已在最新的 Apache bRPC Release 1.5.0 版本中得到修复,后续我们将继续致力于确保我们的项目安全。如果您发现任何其他安全问题,请立即向我们报告。
参考:
此致,
Apache bRPC 社区
修改于 2023年5月16日: add security bug fix pages (#148) (a29da9f83)