报告安全问题

Apache Arrow 采用 Apache 安全团队 概述的标准流程来报告漏洞。请注意，在项目作出回应之前，不应公开披露漏洞。

要报告可能的安全漏洞，请发送电子邮件至 private@arrow.apache.org。

CVE-2023-47248: 在 PyArrow 中加载恶意数据文件时执行任意代码

严重程度: 严重

供应商: Apache 软件基金会

受影响版本: 0.14.0 到 14.0.0

描述: PyArrow 0.14.0 到 14.0.0 版本中 IPC 和 Parquet 读取器对不可信数据的反序列化允许任意代码执行。如果应用程序从不可信来源（例如用户提供的输入文件）读取 Arrow IPC、Feather 或 Parquet 数据，则该应用程序易受攻击。

缓解措施: 升级到 14.0.1 或更高版本。如果不可能，请使用提供的 热修复包。

CVE-2019-12408: C++ ArrayBuilder 中的未初始化内存

严重程度: 高

供应商: Apache 软件基金会

受影响版本: 0.14.x

描述: 发现 Apache Arrow 0.14.0 到 0.14.1 版本的 C++ 实现（R、Python 和 Ruby 实现的基础）在某些情况下构建带有空值的数组时存在未初始化内存错误。这可能导致在 Arrow 数组通过网络（例如使用 Flight）传输或以流式 IPC 和文件格式持久化时，未初始化内存被意外共享。

缓解措施: 升级到 0.15.1 或更高版本。

CVE-2019-12410: C++ 从 Parquet 读取时的未初始化内存

严重程度: 高

供应商: Apache 软件基金会

受影响版本: 0.12.0 - 0.14.1

描述: 在调查 ARROW-6549 中的 UBSAN 错误时，发现 Apache Arrow 0.12.0 到 0.14.1 版本在从 parquet 读取 RLE 空数据时，Array 数据内存未初始化。这影响了 C++、Python、Ruby 和 R 实现。如果通过网络（例如使用 Flight）传输或以流式 IPC 和文件格式持久化，未初始化内存可能会被共享。

缓解措施: 升级到 0.15.1 或更高版本。