Google Guava 安全漏洞(CVE-2023-2976)是一个涉及临时文件权限管理的竞争条件漏洞,主要影响 Guava 1.0 至 31.1-jre 版本。以下是关键信息总结:
漏洞原理
Guava 的 FileBackedOutputStream 类在处理临时文件时,默认使用 Java 临时目录(java.io.tmpdir),导致其他用户或应用程序可能通过该目录访问敏感文件。
影响范围
版本:com.google.guava:guava@[1.0, 32.0.0)
风险:本地攻击者可利用漏洞读取临时目录中的文件,进一步发起针对性攻击。
修复方案
升级至安全版本:建议升级至 Guava 32.0.1 或更高版本。
注意:32.0.0 版本在 Windows 系统下存在功能异常,需使用 32.0.1。
临时目录权限控制:若无法升级,需将临时目录更改为隔离目录并设置严格权限。
兼容性问题
升级至 Guava 32.x 时可能引发 NoClassDefFoundError(如 InternalFutureFailureAccess 缺失),需通过 Maven 或手动下载对应依赖解决。
Doris版本 2.1.8
涉及依赖包路径:/data/doris/fe/lib/spring-core-5.3.39.jar
-
/data/doris/fe/lib/hadoop-shaded-guava-1.2.0.jar
-
/data/doris/fe/lib/iceberg-bundled-guava-1.4.3.jar
-
/data/doris/fe/lib/paimon-shade-guava-30-30.1.1-jre-0.6.0-incubating.jar
