报告安全问题

Apache Arrow 使用 Apache 安全团队 概述的标准流程来报告漏洞。请注意,在项目做出回应之前,不应公开披露漏洞。

要报告可能的安全漏洞,请发送电子邮件至 [email protected]


CVE-2023-47248: 在 PyArrow 中加载恶意数据文件时,任意代码执行

严重程度: 严重

供应商: Apache 软件基金会

受影响的版本: 0.14.0 到 14.0.0

描述: PyArrow 版本 0.14.0 到 14.0.0 中的 IPC 和 Parquet 阅读器中对不受信任数据的反序列化允许任意代码执行。如果应用程序从不受信任的来源(例如用户提供的输入文件)读取 Arrow IPC、Feather 或 Parquet 数据,则该应用程序容易受到攻击。

缓解措施: 升级到版本 14.0.1 或更高版本。如果不可能,请使用提供的 热修复包

CVE-2019-12408: C++ ArrayBuilder 中的未初始化内存

严重程度: 高

供应商: Apache 软件基金会

受影响的版本: 0.14.x

描述: 发现 Apache Arrow 0.14.0 到 0.14.1 的 C++ 实现(作为 R、Python 和 Ruby 实现的基础)在某些情况下使用空值构建数组时存在未初始化内存错误。如果 Arrow 数组通过网络(例如使用 Flight)传输或以流式 IPC 和文件格式持久化,这会导致无意中共享未初始化的内存。

缓解措施: 升级到版本 0.15.1 或更高版本。

CVE-2019-12410: C++ 从 Parquet 读取时的未初始化内存

严重程度: 高

供应商: Apache 软件基金会

受影响的版本: 0.12.0 - 0.14.1

描述: 在调查 ARROW-6549 中的 UBSAN 错误时,发现 Apache Arrow 版本 0.12.0 到 0.14.1 在从 parquet 读取 RLE 空数据时,会使内存数组数据保持未初始化状态。这影响了 C++、Python、Ruby 和 R 实现。如果通过网络(例如使用 Flight)传输或以流式 IPC 和文件格式持久化,未初始化的内存可能会被共享。

缓解措施: 升级到版本 0.15.1 或更高版本。