报告安全问题

Apache Arrow 采用 Apache 安全团队 概述的标准流程来报告漏洞。请注意，在项目做出回应之前，不应公开披露漏洞。

要报告可能的安全漏洞，请发送电子邮件至 private@arrow.apache.org。

CVE-2023-47248: 在 PyArrow 中加载恶意数据文件时可导致任意代码执行

严重程度: 严重

供应商: Apache 软件基金会

受影响的版本: 0.14.0 至 14.0.0

描述: 在 PyArrow 0.14.0 至 14.0.0 版本中，IPC 和 Parquet 读取器对不受信任数据的反序列化允许任意代码执行。如果应用程序从不受信任的来源（例如用户提供的输入文件）读取 Arrow IPC、Feather 或 Parquet 数据，则该应用程序易受攻击。

缓解措施: 升级到 14.0.1 或更高版本。如果无法升级，请使用提供的 热修复包。

CVE-2019-12408: C++ ArrayBuilder 中的未初始化内存

严重程度: 高

供应商: Apache 软件基金会

受影响的版本: 0.14.x

描述: 发现 Apache Arrow 0.14.0 至 0.14.1 的 C++ 实现（R、Python 和 Ruby 实现的基础）在某些情况下使用空值构建数组时存在未初始化的内存错误。如果 Arrow 数组通过网络传输（例如，使用 Flight）或以流式 IPC 和文件格式持久化，则可能导致意外共享未初始化的内存。

缓解措施: 升级到 0.15.1 或更高版本。

CVE-2019-12410: 从 Parquet 读取时 C++ 中的未初始化内存

严重程度: 高

供应商: Apache 软件基金会

受影响的版本: 0.12.0 - 0.14.1

描述: 在调查 ARROW-6549 中的 UBSAN 错误时，发现 Apache Arrow 0.12.0 至 0.14.1 版本在从 parquet 读取 RLE 空数据时，未初始化内存数组数据。这会影响 C++、Python、Ruby 和 R 实现。如果通过网络传输（例如，使用 Flight）或以流式 IPC 和文件格式持久化，则可能共享未初始化的内存。

缓解措施: 升级到 0.15.1 或更高版本。