Apache HertzBeat SnakeYaml 漏洞CVE-2024-42323预警

Apache HertzBeat （incubating）是一个易用友好的开源实时监控系统，提供强大的自定义监控和状态页构建能力。

该系统无需代理(Agentless)，具有高性能集群、兼容 prometheus 等诸多优势、可通过 Docker 等五种方式快速安装。

HertzBeat可实时捕获并分析系统数据及时发出预警，具有强大自定义、多类型支持、高性能、易扩展、低耦合特点。

该系统以简洁直观的设计理念和免安装 Agent 等诸多特性，因而成为深受广大开发者喜爱的开源实时监控解决方案。

一、基本情况

Apache HertzBeat实现了对各类服务器、数据库及应用服务的高效、便捷监控，并且具备了出色的自定义监控功能。

用户可根据自身需求灵活设定监控指标，全面覆盖系统运行状态、性能表现和资源使用情况，从而实现全方位透视。

HertzBeat 无论对个人开发者还是企业用户都是实用且高效运维利器，轻松掌握系统脉搏，提升运维管理效率质量。

二、漏洞描述

Apache HertzBeat 官方日前修复一个 SnakeYaml 反序列化漏洞，该漏洞被标记为VE-2024-42323，CVSS评分8.8。

Apache HertzBeat 1.6.0 之前版本中使用了存在漏洞的SnakeYaml 解析库，该解析库YAML数据/配置文件存在漏洞。

正常情况下YAML数据/配置文件被 HertzBeat 用于定义监控类型或其他关键配置，但不排除黑客利用恶意配置文件。

经身份验证的攻击者通过恶意YAML数据/配置文件，触发反序列化漏洞 CVE-2024-42323，从而导致远程代码执行。

三、 影响范围

Apache HertzBeat < 1.6.0

四、 修复建议

目前该漏洞已经修复，受影响用户需升级到 Apache HertzBeat 1.6.0 或更高版本。

五、 参考链接

https://lists.apache.org/thread/dwpwm572sbwon1mknlwhkpbom2y7skbx

https://lists.apache.org/thread/r0c4tost4bllqc1n9q6rmzs1slgsq63t

https://github.com/apache/hertzbeat/pull/1239

https://app.opencve.io/cve/CVE-2024-42323