Schwachstelle CVE-2023-46302 in Apache Submarine

Publiziert am 20. November 2023 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)In Apache Submarine gibt es eine kritische Remote Code Execution-Schwachstelle CVE-2023-46302. Die Schwachstelle rührt von einer Sicherheitslücke in snakeyaml (CVE-2022-1471) her und gefährdet Apache Submarine-Benutzer, da Angreifer beliebigen Code auf verwundbaren Systemen ausführen können. Betroffen von CVE-2023-46302 sind die Apache Submarine-Versionen 0.7.0 bis 0.7.2.

Anzeige

Ich bin über nachfolgenden Post auf BlueSky auf den Sachverhalt aufmerksam geworden, der auf seclists.org in diesem Eintrag dokumentiert wurde. Die Schwachstelle tritt wohl auf, wenn Apache Submarine auf die Bibliothek von snakeyaml zugreift und dort CVE-2022-1471 ungefixt ist.

Dieses Problem betrifft Apache Submarine von 0.7.0 vor 0.8.0. Den Benutzern wird empfohlen, auf Version 0.8.0 zu aktualisieren, die
dieses Problem behebt. Dort wurde `jackson-dataformat-yaml` ersetzt.

Apache Submarine (kurz: Submarine) ist eine End-to-End-Plattform für maschinelles Lernen, die es Datenwissenschaftlern ermöglicht, End-to-End-Workflows für maschinelles Lernen zu erstellen. Submarine unterstützt beispielsweise Yarn, Kubernetes, Docker mit Resource-Scheduling.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.