安全問題回報

Apache Arrow 採用 Apache 安全團隊 概述的標準流程來回報漏洞。請注意，在專案回應之前，不應公開揭露漏洞。

若要回報可能的安全漏洞，請寄送電子郵件至 private@arrow.apache.org。

CVE-2023-47248：在 PyArrow 中載入惡意資料檔案時可能執行任意程式碼

嚴重性：嚴重

供應商：The Apache Software Foundation（Apache 軟體基金會）

受影響版本：0.14.0 至 14.0.0

描述：PyArrow 版本 0.14.0 至 14.0.0 中的 IPC 和 Parquet 讀取器在反序列化不受信任的資料時，允許執行任意程式碼。如果應用程式從不受信任的來源（例如使用者提供的輸入檔案）讀取 Arrow IPC、Feather 或 Parquet 資料，則該應用程式容易受到攻擊。

緩解措施：升級至 14.0.1 或更高版本。如果不可行，請使用提供的 hotfix 修補程式包。

CVE-2019-12408：C++ ArrayBuilder 中的未初始化記憶體

嚴重性：高

供應商：The Apache Software Foundation（Apache 軟體基金會）

受影響版本：0.14.x

描述：經發現，Apache Arrow 0.14.0 至 0.14.1 的 C++ 實作（為 R、Python 和 Ruby 實作的基礎）在某些情況下建構包含空值的陣列時，存在未初始化記憶體錯誤。如果 Arrow 陣列透過網路傳輸（例如使用 Flight）或持久化在串流 IPC 和檔案格式中，這可能會導致未初始化的記憶體被意外共享。

緩解措施：升級至 0.15.1 或更高版本。

CVE-2019-12410：C++ 從 Parquet 讀取時的未初始化記憶體

嚴重性：高

供應商：The Apache Software Foundation（Apache 軟體基金會）

受影響版本: 0.12.0 - 0.14.1

描述：在調查 ARROW-6549 中的 UBSAN 錯誤時，發現 Apache Arrow 版本 0.12.0 至 0.14.1 在從 Parquet 讀取 RLE 空值資料時，會使記憶體陣列資料保持未初始化狀態。這影響了 C++、Python、Ruby 和 R 實作。如果未初始化的記憶體透過網路傳輸（例如使用 Flight）或持久化在串流 IPC 和檔案格式中，則可能會被共享。

緩解措施：升級至 0.15.1 或更高版本。