ballista 正在参加 2021 年度 OSC 中国开源项目评选,请投票支持!
ballista 在 2021 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
2021 年度 OSC 中国开源项目评选 正在火热进行中,快来投票支持你喜欢的开源项目!
2021 年度 OSC 中国开源项目评选 >>> 中场回顾
ballista 获得 2021 年度 OSC 中国开源项目评选「最佳人气项目」 !
授权协议 Apache-2.0 License
开发语言 Rust
操作系统 跨平台
软件类型 开源软件
所属分类 云计算云原生
开源组织
地区 不详
投 递 者 首席测试
适用人群 未知
收录时间 2021-11-10

软件简介

Ballista: Distributed Compute Platform

License

Ballista is now part of Apache Arrow!

This repository is now archived and development is now happening in a new Apache Arrow repository:

We will now use the official ASF Slack for informal discussions and coordination. This is a great place to meet other contributors and get guidance on where to contribute. Join us in the #arrow-rust channel.

Also, see Arrow Rust Community for more information on how to interact with the project.

展开阅读全文

代码

评论

点击引领话题📣
暂无内容
发表了博客
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
发表了问答
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
Apache Commons IO 路径遍历漏洞
路径遍历
在 2.7 之前的 Apache Commons IO 中,当使用不正确的输入字符串(如“//../foo”或“\\..\foo”)调用方法 FileNameUtils.normalize 时,结果将是相同的值,因此可能如果调用代码将使用结果来构造路径值,则提供对父目录中文件的访问,但不能进一步访问(因此“有限”路径遍历)。
CVE-2021-29425 MPS-2021-4531
2022-08-08 19:00
commons-codec:commons-codec 存在信息暴露漏洞
信息暴露
commons-codec:commons-codec 是一个包含各种格式(如 Base64 和 Hexadecimal)的简单编码器和解码器的包。此软件包的受影响版本容易受到信息泄露的影响。
MPS-2022-11853
2022-08-08 19:00
io.netty:netty-codec-http 存在拒绝服务漏洞
拒绝服务
io.netty:netty-codec-http 是一个网络应用框架,用于快速开发可维护的高性能协议服务器和客户端。此软件包的受影响版本容易受到拒绝服务 (DoS) 的攻击。在请求内容大于 16kb(默认值,可设置)的时候,netty 会使用磁盘存储请求内容,同时在默认情况下,会调用 file 的 deleteOnExit 方法,导致文件路径不断的被保存到不能被 jvm在运行时回收的 DeleteOnExitHook ,最终造成内存泄露的危害,
MPS-2022-12064
2022-08-08 19:00
org.apache.hadoop:hadoop-hdfs 存在XXE漏洞
XXE
org.apache.hadoop:hadoop-hdfs 是一个框架,它允许使用简单的编程模型跨计算机集群对大型数据集进行分布式处理。由于通过 OfflineEditsXmlLoader.java 工具对 XML 文件的不安全解析,此包的受影响版本容易受到 XML 外部实体注入 (XXE) 的攻击。
MPS-2022-12474
2022-08-08 19:00
Netty createTempFile信息泄露漏洞
Netty是Netty社区的一款非阻塞I/O客户端-服务器框架,它主要用于开发Java网络应用程序,如协议服务器和客户端等。 Netty 4.1.59之前版本存在安全漏洞,由于使用了createTempFile函数会在系统临时目录中创建一个权限为rw-r--r--的临时文件。因此,如果将敏感信息写入该文件,则其他本地用户就可以读取该信息。造成信息泄露的危害。
CVE-2021-21290 MPS-2021-1580
2022-08-08 19:00
Apache Hadoop 安全漏洞
信息暴露
Apache Hadoop是美国阿帕奇(Apache)软件基金会的一套开源的分布式系统基础架构,它能够对大量数据进行分布式处理,并具有高可靠性、高扩展性、高容错性等特点。 Apache Hadoop中存在安全漏洞。攻击者可通过构建含有XML指令的配置文件利用该漏洞获取私有文件。以下版本受到影响:Apache Hadoop 0.23.x版本,2.7.5之前的2.x版本,2.8.3之前的2.8.x版本,3.0.0-alpha版本至3.0.0-beta1版本。
CVE-2017-15713 MPS-2018-0896
2022-08-08 19:00
jackson-mapper-asl 代码问题漏洞
XXE
jackson-mapper-asl是一款基于Jackson JSON处理器构建的数据映射软件包。 jackson-mapper-asl 1.9.x版本中存在代码问题漏洞。远程攻击者可借助特制数据利用该漏洞获取敏感信息。
CVE-2019-10172 MPS-2019-15048
2022-08-08 19:00
Apache Commons Compress 无限循环漏洞
不可达退出条件的循环(无限循环)
Apache Commons Compress是美国阿帕奇(Apache)基金会的一个用于处理压缩文件的库。 Apache Commons Compress存在安全漏洞,该漏洞源于当读取一个特殊制作的7Z归档文件时,构造解码器列表来解压缩条目可能会导致无限循环。
CVE-2021-35515 MPS-2021-10565
2022-08-08 19:00
Apache Log4j SQL注入漏洞
SQL注入
根据设计,Log4j 1.2.x 中的 JDBCAppender 接受 SQL 语句作为配置参数,其中要插入的值是来自 PatternLayout 的转换器。消息转换器 %m 可能总是包含在内。这允许攻击者通过将精心制作的字符串输入到记录的应用程序的输入字段或标题中来操纵 SQL,从而允许执行意外的 SQL 查询。请注意,此问题仅在专门配置为使用 JDBCAppender(不是默认设置)时才会影响 Log4j 1.x。从 2.0-beta8 版本开始,重新引入了 JDBCAppender,适当支持参数化 SQL 查询,并进一步自定义写入日志的列。 Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2,因为它解决了以前版本中的许多其他问题。
CVE-2022-23305 MPS-2022-1444
2022-08-08 19:00
Apache HttpComponents Incomplete Fix SSL证书验证安全绕过漏洞
输入验证不恰当
HttpComponents简称HttpCore, 是一组底层Http传输协议组件,支持两种I/O模型,阻塞I/O模型和和非阻塞I/O模型。 Apache HttpComponents不安全修复SSL证书验证存在安全绕过漏洞,允许攻击者进行中间人攻击或冒充受信任的服务器发起进一步攻击
CVE-2012-6153 MPS-2014-4288
2022-08-08 19:00
Apache Log4j 信任管理问题漏洞
证书验证不恰当
Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。 Apache Log4j中存在信任管理问题漏洞,该漏洞源于SmtpAppender没有验证主机名称与SMTPS连接的SSL/TLS证书是否匹配。攻击者可通过实施中间人攻击利用该漏洞拦截SMTPS连接,获取日志消息。
CVE-2020-9488 MPS-2020-6684
2022-08-08 19:00
Netty Bzip2Decoder资源穷尽漏洞
拒绝服务
Netty 是一个异步事件驱动的网络应用程序框架。 Netty的Bzip2 decompression decoder功能不允许对解压输出数据设置大小限制造成安全漏洞。攻击者可利用该漏洞引发DoS攻击
CVE-2021-37136 MPS-2021-28116
2022-08-08 19:00
Netty Snappy资源穷尽漏洞
拒绝服务
Netty是Netty社区的一款非阻塞I/O客户端-服务器框架,它主要用于开发Java网络应用程序,如协议服务器和客户端等。 netty存在资源管理错误漏洞,该漏洞源于Snappy frame decoder函数不限制块长度,这可能会导致过度内存使用。
CVE-2021-37137 MPS-2021-28117
2022-08-08 19:00
Apache Log4j 安全漏洞
当攻击者对 Log4j 配置具有写访问权限时,Log4j 1.2 中的 JMSAppender 容易受到不受信任数据的反序列化。攻击者可以提供 TopicBindingName 和 TopicConnectionFactoryBindingName 配置,导致 JMSAppender 执行 JNDI 请求,从而以类似于 CVE-2021-44228 的方式执行远程代码。请注意,此问题仅在专门配置为使用 JMSAppender(不是默认设置)时影响 Log4j 1.2。 Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2,因为它解决了以前版本中的许多其他问题。
CVE-2021-4104 MPS-2021-38359
2022-08-08 19:00
io.netty:netty-handler 存在证书验证不恰当漏洞
证书验证不恰当
io.netty:netty-handler 是一个提供异步事件驱动的网络应用程序框架和工具的库,用于快速开发可维护的高性能和高可扩展性协议服务器和客户端。换句话说,Netty 是一个 NIO 客户端服务器框架,可以快速轻松地开发协议服务器和客户端等网络应用程序。它极大地简化和流线了网络编程,例如 TCP 和 UDP 套接字服务器。此软件包的受影响版本容易受到不正确的证书验证的影响。在 Netty 4.1.x 中默认禁用证书主机名验证,这使得它可能容易受到中间人攻击。
MPS-2022-12067
2022-08-08 19:00
com.fasterxml.jackson.core:jackson-databind 存在拒绝服务漏洞
拒绝服务
com.fasterxml.jackson.core:jackson-databind 是一个库,其中包含Jackson Data Processor的通用数据绑定功能和树模型。当使用 JDK 序列化来序列化和反序列化 JsonNode 值时,此包的受影响版本容易受到拒绝服务 (DoS) 的攻击。
MPS-2022-12500
2022-08-08 19:00
Apache Hadoop路径遍历漏洞
路径遍历
Apache Hadoop是美国阿帕奇(Apache)基金会的一套开源的分布式系统基础架构。该产品能够对大量数据进行分布式处理,并具有高可靠性、高扩展性、高容错性等特点。Apache Hadoop存在安全漏洞,该漏洞源于TAR条目可能会在指向外部目录的预期提取目录下创建符号链接,并使用符号链接名称将任意文件提取到外部目录中。攻击者可以利用该漏洞造成信息泄露。
CVE-2022-26612 MPS-2022-5920
2022-08-08 19:00
Apache Commons Compress 资源管理错误漏洞
不可达退出条件的循环(无限循环)
Apache Commons Compress是美国阿帕奇(Apache)基金会的一个用于处理压缩文件的库。 Apache Commons Compress 1.7版本至1.17版本中存在资源管理错误漏洞,该漏洞源于在数据流结束后,ZipArchiveInputStream的读取方法没有返回正确的文件结束符指示。攻击者可通过发送特制的ZIP归档文件利用该漏洞造成拒绝服务。
CVE-2018-11771 MPS-2018-11233
2022-08-08 19:00
Apache Spark加密问题漏洞
使用捕获-重放进行的认证绕过
Apache Spark 支持通过“spark.authenticate”和“spark.network.crypto.enabled”对 RPC 连接进行端到端加密。在 3.1.2 及更早版本中,它使用定制的相互身份验证协议,允许完全加密密钥恢复。在初始交互式攻击之后,这将允许某人离线解密明文流量。请注意,这不会影响由“spark.authenticate.enableSaslEncryption”、“spark.io.encryption.enabled”、“spark.ssl”、“spark.ui.strictTransportSecurity”控制的安全机制。更新到 Apache Spark 3.1.3 或更高版本
CVE-2021-38296 MPS-2021-28996
2022-08-08 19:00
Maxim Nesen jersey 安全漏洞
将资源暴露给错误范围
Eclipse Jersey 2.28 到 2.33 和 Eclipse Jersey 3.0.0 到 3.0.1 包含一个本地信息泄露漏洞。这是由于使用了 File.createTempFile,它在系统临时目录中创建了一个具有以下权限的文件:-rw-r--r--。因此,该文件的内容可由系统本地的所有其他用户查看。因此,如果写入的内容是安全敏感的,则可以将其披露给其他本地用户。
CVE-2021-28168 MPS-2021-5218
2022-08-08 19:00
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
0 评论
0 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部