关于Apache Avro-rs整数溢出漏洞（CVE-2022-36125）的预警提示

发布时间：2022-08-17浏览次数：385

一、漏洞详情 Apache Avro是一个数据序列化系统，可以将数据结构或对象转化成便于存储或传输的格式。Avro-rs是用于在Rust中使用Apache Avro的库。 Apache发布安全公告，修复了Apache Avro-rs中的一个整数溢出漏洞（CVE-2022-36125），由于在Avro Rust SDK中读取损坏的.avro文件时会发生整数溢出，可能导致应用程序崩溃。 此外，Apache Avro-rs中还修复了如下两个漏洞，这些漏洞都影响了使用0.14.0之前的Apache Avro Rust SDK（以前称为Avro-rs）的Rust应用程序： Apache Avro-rs拒绝服务漏洞（CVE-2022-35724，高危）：在Avro Rust SDK中读取数据时，可能导致Reader无休止地循环，耗费CPU，最终导致拒绝服务。 Apache Avro-rs内存过度消耗漏洞（CVE-2022-36124，中危）：Avro Rust SDK中存在内存过度消耗问题，Reader可能会消耗超出允许限制的内存，从而导致内存不足。 建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。 二、影响范围 Apache Avro-rs版本 < 0.14.0 三、修复建议 目前这些漏洞已经修复，受影响用户可升级到Apache Avro-rs版本0.14.0。 下载链接：https://crates.io/crates/avro-rs/versions