报告安全问题

Apache Arrow 使用 Apache 安全团队 概述的标准流程来报告漏洞。 请注意，在项目响应之前，不应公开披露漏洞。

要报告可能存在的安全漏洞，请发送电子邮件至 private@arrow.apache.org。

CVE-2023-47248: 在 PyArrow 中加载恶意数据文件时执行任意代码

严重性: 严重

供应商: Apache 软件基金会

受影响版本: 0.14.0 到 14.0.0

描述: PyArrow 版本 0.14.0 到 14.0.0 中 IPC 和 Parquet 读取器中不受信任数据的反序列化允许执行任意代码。 如果应用程序从不受信任的来源（例如用户提供的输入文件）读取 Arrow IPC、Feather 或 Parquet 数据，则该应用程序容易受到攻击。

缓解措施: 升级到 14.0.1 或更高版本。 如果不可能，请使用提供的 热修复包。

CVE-2019-12408: C++ ArrayBuilder 中的未初始化内存

严重性: 高

供应商: Apache 软件基金会

受影响版本: 0.14.x

描述: 发现 Apache Arrow 0.14.0 到 0.14.1 的 C++ 实现（R、Python 和 Ruby 实现的基础）在某些情况下构建带有空值的数组时存在未初始化的内存错误。 如果 Arrow 数组通过网络传输（例如通过 Flight）或以流式 IPC 和文件格式持久保存，这可能导致未初始化的内存被无意共享。

缓解措施: 升级到 0.15.1 或更高版本。

CVE-2019-12410: 从 Parquet 读取 C++ 时未初始化的内存

严重性: 高

供应商: Apache 软件基金会

受影响版本: 0.12.0 - 0.14.1

描述: 在调查 ARROW-6549 中的 UBSAN 错误时，发现 Apache Arrow 版本 0.12.0 到 0.14.1 在从 parquet 读取 RLE 空数据时，将内存 Array 数据保持未初始化状态。 这影响了 C++、Python、Ruby 和 R 实现。 如果未初始化的内存通过网络传输（例如通过 Flight）或以流式 IPC 和文件格式持久保存，则可能会被共享。

缓解措施: 升级到 0.15.1 或更高版本。