一、基本情况
Genie是 Netflix 开发的开源分布式作业编排引擎,提供 REST-ful API 来运行各种大数据作业,例如 Hadoop、Pig、Hive、Spark、Presto、Sqoop 等。它还提供 API 用于管理许多分布式处理集群的元数据以及在集群上运行的命令和应用程序。
二、漏洞描述
Genie OSS 4.3.18之前版本在文件上传中存在路径遍历漏洞,由于Genie 的 API 接受multipart/form-data 文件上传并可将文件保存到磁盘上,但在将文件写入磁盘时它会使用用户提供的文件名,由于文件名是由用户控制的,威胁者可操纵文件名执行路径遍历攻击,利用该漏洞将文件(如恶意共享对象文件)写入文件系统上Java 进程具有写访问权限的任意位置,从而导致远程代码执行。
三、影响范围
Genie OSS < 4.3.18
四、修复建议
目前该漏洞已经修复,受影响用户可升级到Genie OSS 4.3.18或更高版本。
临时措施:
依赖文件系统存储提交给 Genie 应用程序的文件附件的 Genie OSS 用户易受该漏洞影响,任何不使用本地文件系统来存储用户提交/上传的文件附件的 Genie 实例(如使用 AWS S3 进行存储)都不易受到攻击。
