Apache Avro-rs整數溢出漏洞

1. 通告信息

近日，安識科技A-Team團隊監測到一則 Apache Avro-rs整數溢出漏洞的信息，漏洞編號：CVE-2022-36125，漏洞威脅等級：高危。

該漏洞是由于 由于在Avro Rust SDK中讀取損壞的.avro文件時會發生整數溢出，可能導致應用程序崩潰。

對此，安識科技建議廣大用戶及時升級到安全版本，并做好資產自查以及預防工作，以免遭受黑客攻擊。

2. 漏洞概述

CVE：CVE-2022-36125

簡述：Apache Avro 是一個數據序列化系統，可以將數據結構或對象轉化成便于存儲或傳輸的格式。Avro-rs是用于在Rust中使用Apache Avro的庫。由于在Avro Rust SDK中讀取損壞的.avro文件時會發生整數溢出，可能導致應用程序崩潰。

3. 漏洞危害

由于在Avro Rust SDK中讀取損壞的.avro文件時會發生整數溢出，可能導致應用程序崩潰。

4. 影響版本

目前受影響的Apache Avro-rs版本：

Apache Avro-rs版本 < 0.14.0

5. 解決方案

當前官方已發布最新版本，建議受影響的用戶及時更新升級到最新版本。鏈接如下：https://crates.io/crates/avro-rs/versions

6. 時間軸

【-】2022年08月09日 安識科技A-Team團隊監測到Apache Avro-rs整數溢出漏洞信息

【-】2022年08月10日 安識科技A-Team團隊根據漏洞信息分析

【-】2022年08月11日 安識科技A-Team團隊發布安全通告