Apache Thrift远程命令注入漏洞（CVE-2016-5397）

Apache Thrift远程命令注入漏洞（CVE-2016-5397）

Apache Thrift远程命令注入漏洞（CVE-2016-5397）

发布日期：2018-02-13
更新日期：2018-03-02

受影响系统：

Apache Group Thrift <= 0.9.3

描述：

---

BUGTRAQ  ID: 103025
CVE(CAN) ID: CVE-2016-5397

Apache Thrift 是Facebook 实现的一种高效的、支持多种编程语言的远程服务调用的框架。

Apache Thrift 0.9.3及之前版本在实现上存在远程命令注入漏洞，攻击者利用此漏洞可在受影响应用上下文中注入并执行任意代码。

<*来源：Jake Farrell
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://mail-archives.apache.org/mod_mbox/thrift-user/201701.mbox/raw/%3CCANyrgvc3W%3DMJ9S-hMZecPNzxkyfgNmuSgVfW2hdDSz5ke%2BOPhQ%40mail.gmail.com%3E
http://www.apache.org/
https://issues.apache.org/jira/browse/THRIFT-3893

本文永久更新链接地址：https://www.bkjia.com/Linux/2018-03/151151.htm