发布日期：2019-11-07
更新日期：2019-11-12

受影响系统：

Apache Group Arrow 0.12.0 － 0.14.1

描述：

---

CVE(CAN) ID: CVE-2019-12410

Apache Arrow是一款用于内存数据处理的跨语言开发平台。

Apache Arrow 0.12.0版本至0.14.1版本，在从parquet读取RLE null数据时未初始化内存Array数据，在实现中存在安全漏洞。此漏洞影响C++, Python, Ruby, R实现，攻击者可能利用该漏洞获取未初始化的内存。

<*来源：Apache
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://lists.apache.org/thread.html/49f067b1c5fb7493d952580f0d2d032819ba351f7a78743c21126269@%3Cdev.arrow.apache.org%3E

参考：
http://www.openwall.com/lists/oss-security/2019/11/08/1

浏览次数：1144
严重程度：0（网友投票）