Bug 13816

Summary: [CVE 21] thrift 0.10.0 CVEs found
Product: [ROSA-based products] ROSA Fresh Reporter: Yury <y.tumanov>
Component: System (kernel, glibc, systemd, bash, PAM...)Assignee: ROSA Linux Bugs <bugs>
Status: VERIFIED FIXED QA Contact: ROSA Linux Bugs <bugs>
Severity: blocker    
Priority: Highest CC: a.proklov, e.kosachev, m.novosyolov, pastordidi, s.matveev, v.potapov, y.tumanov
Version: AllFlags: v.potapov: qa_verified+
y.tumanov: secteam_verified+
a.proklov: published+
Target Milestone: ---   
Hardware: All   
OS: Linux   
URL: CVE-2018-11798, CVE-2020-13949
Whiteboard:
Platform: 2021.1 ROSA Vulnerability identifier:
RPM Package: ISO-related:
Bad POT generating: Upstream:

Description Yury 2023-10-18 20:06:37 MSK 
Please patch CVEs for package thrift version 0.10.0
  
INFO (CVEs are): thrift 0.10.0
 cves found
CVE-2018-11798
Desc: The Apache Thrift Node.js static web server in versions 0.9.2 through 0.11.0 have been determined to contain a security vulnerability in which a remote user has the ability to access files outside the set webservers docroot path.
Link: https://nvd.nist.gov/vuln/detail/CVE-2018-11798
Severity: MEDIUM
CVE-2019-11938
Desc: Java Facebook Thrift servers would not error upon receiving messages declaring containers of sizes larger than the payload. As a result, malicious clients could send short messages which would result in a large memory allocation, potentially leading to denial of service. This issue affects Facebook Thrift prior to v2019.12.09.00.
Link: https://nvd.nist.gov/vuln/detail/CVE-2019-11938
Severity: HIGH
CVE-2019-11939
Desc: Golang Facebook Thrift servers would not error upon receiving messages declaring containers of sizes larger than the payload. As a result, malicious clients could send short messages which would result in a large memory allocation, potentially leading to denial of service. This issue affects Facebook Thrift prior to v2020.03.16.00.
Link: https://nvd.nist.gov/vuln/detail/CVE-2019-11939
Severity: HIGH
CVE-2019-3552
Desc: C++ Facebook Thrift servers (using cpp2) would not error upon receiving messages with containers of fields of unknown type. As a result, malicious clients could send short messages which would take a long time for the server to parse, potentially leading to denial of service. This issue affects Facebook Thrift prior to v2019.02.18.00.
Link: https://nvd.nist.gov/vuln/detail/CVE-2019-3552
Severity: HIGH
CVE-2019-3553
Desc: C++ Facebook Thrift servers would not error upon receiving messages declaring containers of sizes larger than the payload. As a result, malicious clients could send short messages which would result in a large memory allocation, potentially leading to denial of service. This issue affects Facebook Thrift prior to v2020.02.03.00.
Link: https://nvd.nist.gov/vuln/detail/CVE-2019-3553
Severity: HIGH
CVE-2019-3558
Desc: Python Facebook Thrift servers would not error upon receiving messages with containers of fields of unknown type. As a result, malicious clients could send short messages which would take a long time for the server to parse, potentially leading to denial of service. This issue affects Facebook Thrift prior to v2019.02.18.00.
Link: https://nvd.nist.gov/vuln/detail/CVE-2019-3558
Severity: HIGH
CVE-2019-3559
Desc: Java Facebook Thrift servers would not error upon receiving messages with containers of fields of unknown type. As a result, malicious clients could send short messages which would take a long time for the server to parse, potentially leading to denial of service. This issue affects Facebook Thrift prior to v2019.02.18.00.
Link: https://nvd.nist.gov/vuln/detail/CVE-2019-3559
Severity: HIGH
CVE-2019-3564
Desc: Go Facebook Thrift servers would not error upon receiving messages with containers of fields of unknown type. As a result, malicious clients could send short messages which would take a long time for the server to parse, potentially leading to denial of service. This issue affects Facebook Thrift prior to v2019.03.04.00.
Link: https://nvd.nist.gov/vuln/detail/CVE-2019-3564
Severity: HIGH
CVE-2019-3565
Desc: Legacy C++ Facebook Thrift servers (using cpp instead of cpp2) would not error upon receiving messages with containers of fields of unknown type. As a result, malicious clients could send short messages which would take a long time for the server to parse, potentially leading to denial of service. This issue affects Facebook Thrift prior to v2019.05.06.00.
Link: https://nvd.nist.gov/vuln/detail/CVE-2019-3565
Severity: HIGH
CVE-2020-13949
Desc: In Apache Thrift 0.9.3 to 0.13.0, malicious RPC clients could send short messages which would result in a large memory allocation, potentially leading to denial of service.
Link: https://nvd.nist.gov/vuln/detail/CVE-2020-13949
Severity: HIGH
CVE-2021-24028
Desc: An invalid free in Thrift's table-based serialization can cause the application to crash or potentially result in code execution or other undesirable effects. This issue affects Facebook Thrift prior to v2021.02.22.00.
Link: https://nvd.nist.gov/vuln/detail/CVE-2021-24028
Severity: CRITICAL
Comment 1 Aleksandr Proklov 2023-10-20 05:38:33 MSK 
CVE-2019-11938 не могу закрыть, код поменялся
Comment 2 Aleksandr Proklov 2023-10-20 08:11:46 MSK 
CVE-2018-11798 закрыто патчем.
CVE-2020-13949 не починить, только обновление.

версия 0.10.0-19

https://abf.io/build_lists/4759119
https://abf.io/build_lists/4759120

-----------------------------------------
версия 0.19.0 (самая последняя 09.2023)

https://abf.io/build_lists/4759124 (х64)
https://abf.io/build_lists/4759125
https://abf.io/build_lists/4759126
https://abf.io/build_lists/4759127
https://abf.io/build_lists/4759128
-----------------------------------------

Остальные CVE не относятся к нашему Apache Thrift, они для Facebook Thrift.

Выбирайте какую версию отправляем в платформу.
Comment 3 Dmitry Postnikov 2023-10-25 10:14:52 MSK 
(In reply to Aleksandr from comment #2)
> CVE-2018-11798 закрыто патчем.
> CVE-2020-13949 не починить, только обновление.
> 
> версия 0.10.0-19
> 
> https://abf.io/build_lists/4759119
> https://abf.io/build_lists/4759120
> 

Тут, например, если ставить thrift, то тащится порядка 130 пакетов devel. Это норма?
Если ставить perl-thrift, то не тянется в зависимостях perl-Class-Accessor и не тянется сам thrift.

> -----------------------------------------
> версия 0.19.0 (самая последняя 09.2023)
> 
> https://abf.io/build_lists/4759124 (х64)
> https://abf.io/build_lists/4759125
> https://abf.io/build_lists/4759126
> https://abf.io/build_lists/4759127
> https://abf.io/build_lists/4759128
> -----------------------------------------
> 

Тут с перлом тоже самое. Плюс, если тавить thrift-qt, то GUI qt'шного нет. В пакете thrift-qt только одна либа и всё. Видимо что-то не собралось.
Comment 4 Mikhail Novosyolov 2023-10-25 18:28:10 MSK 
(In reply to Aleksandr from comment #2)
> CVE-2018-11798 закрыто патчем.
> CVE-2020-13949 не починить, только обновление.
> 
> версия 0.10.0-19
> 
> https://abf.io/build_lists/4759119
> https://abf.io/build_lists/4759120
> 
> -----------------------------------------
> версия 0.19.0 (самая последняя 09.2023)
> 
> https://abf.io/build_lists/4759124 (х64)
> https://abf.io/build_lists/4759125
> https://abf.io/build_lists/4759126
> https://abf.io/build_lists/4759127
> https://abf.io/build_lists/4759128
> -----------------------------------------
> 
> Остальные CVE не относятся к нашему Apache Thrift, они для Facebook Thrift.
> 
> Выбирайте какую версию отправляем в платформу.

Не обновляй, пожалуйста, java-стек без Славы. Обновление одного пакета разломает вообще весь java-стек нафиг. Не надо так делать.
Только патчами. что нельзя патчами, там просто закрываем баги как resolved wontfix.
Текущее обновление предлагаю откатить.
Слава, что думаешь? Надо?
Comment 5 Svyatoslav Matveev 2023-10-25 18:54:26 MSK 
(In reply to Mikhail Novosyolov from comment #4)
> (In reply to Aleksandr from comment #2)
> > CVE-2018-11798 закрыто патчем.
> > CVE-2020-13949 не починить, только обновление.
> > 
> > версия 0.10.0-19
> > 
> > https://abf.io/build_lists/4759119
> > https://abf.io/build_lists/4759120
> > 
> > -----------------------------------------
> > версия 0.19.0 (самая последняя 09.2023)
> > 
> > https://abf.io/build_lists/4759124 (х64)
> > https://abf.io/build_lists/4759125
> > https://abf.io/build_lists/4759126
> > https://abf.io/build_lists/4759127
> > https://abf.io/build_lists/4759128
> > -----------------------------------------
> > 
> > Остальные CVE не относятся к нашему Apache Thrift, они для Facebook Thrift.
> > 
> > Выбирайте какую версию отправляем в платформу.
> 
> Не обновляй, пожалуйста, java-стек без Славы. Обновление одного пакета
> разломает вообще весь java-стек нафиг. Не надо так делать.
> Только патчами. что нельзя патчами, там просто закрываем баги как resolved
> wontfix.
> Текущее обновление предлагаю откатить.
> Слава, что думаешь? Надо?

Пусть остается обновленным,так как он смержен с 202310 и там не наблюдалось падений стэка.
Comment 6 Aleksandr Proklov 2023-10-26 05:38:00 MSK 
>Плюс, если тавить thrift-qt, то GUI qt'шного нет.

C чего ты взял что должен быть гуй!

>Тут, например, если ставить thrift, то тащится порядка 130 пакетов devel. Это норма?
>Если ставить perl-thrift, то не тянется в зависимостях perl-Class-Accessor и не тянется сам thrift.

ты описание проги то смотрел или просто так?
Comment 7 Dmitry Postnikov 2023-10-26 11:37:43 MSK 
(In reply to Aleksandr from comment #6)
> >Плюс, если тавить thrift-qt, то GUI qt'шного нет.
> 
> C чего ты взял что должен быть гуй!
> 
> >Тут, например, если ставить thrift, то тащится порядка 130 пакетов devel. Это норма?
> >Если ставить perl-thrift, то не тянется в зависимостях perl-Class-Accessor и не тянется сам thrift.
> 
> ты описание проги то смотрел или просто так?

Да не глянул. Но все равно фиксить надо с зависимостями обе сборки.
Comment 8 Aleksandr Proklov 2023-10-26 12:25:44 MSK 
я не вижу что там фиксить. пиши конкретно что надо сделать.
Comment 9 Dmitry Postnikov 2023-10-26 12:46:26 MSK 
(In reply to Aleksandr from comment #8)
> я не вижу что там фиксить. пиши конкретно что надо сделать.

Тут, например, если ставить thrift, то тащится порядка 130 пакетов devel. Это норма?
Если ставить perl-thrift, то не тянется в зависимостях perl-Class-Accessor и не тянется сам thrift.
Comment 10 Aleksandr Proklov 2023-10-26 12:57:47 MSK 
я незнаю что на это ответить. регрессии нет, такой пакет у нас уже давно.
Comment 11 Dmitry Postnikov 2023-10-26 14:10:11 MSK 
(In reply to Aleksandr from comment #2)
> CVE-2018-11798 закрыто патчем.
> CVE-2020-13949 не починить, только обновление.
> 

> -----------------------------------------
> версия 0.19.0 (самая последняя 09.2023)
> 
> https://abf.io/build_lists/4759124 (х64)
> https://abf.io/build_lists/4759125
> https://abf.io/build_lists/4759126
> https://abf.io/build_lists/4759127
> https://abf.io/build_lists/4759128
> -----------------------------------------
> 
> Остальные CVE не относятся к нашему Apache Thrift, они для Facebook Thrift.
> 

Да, регресса нет. Отправляю последнюю версию тогда.

*****************************
Обновление отослано в Тестинг
Comment 12 Mikhail Novosyolov 2023-10-26 17:37:58 MSK 
(In reply to Aleksandr from comment #10)
> я незнаю что на это ответить. регрессии нет, такой пакет у нас уже давно.

Не понял, где давно и что?
Comment 13 Mikhail Novosyolov 2023-10-26 18:14:38 MSK 
Понял. Новая версия давно в 2023.1  и теперь поехала в 2021.1. Ладно.
Comment 14 Yury 2023-10-27 20:51:57 MSK 
*** Bug 13948 has been marked as a duplicate of this bug. ***
Comment 15 Yury 2023-10-27 20:52:14 MSK 
*** Bug 13328 has been marked as a duplicate of this bug. ***
Comment 16 Yury 2023-10-31 15:19:07 MSK 
secteam_verified
Comment 17 Vladimir Potapov 2023-11-01 11:19:07 MSK 
thrift-0.19.0-1
 https://abf.io/build_lists/4759124 (х64)
https://abf.io/build_lists/4759125
https://abf.io/build_lists/4759126
https://abf.io/build_lists/4759127
https://abf.io/build_lists/4759128
************************* Advisory *************************
fix CVE-2018-11798 by path
fix CVE-2020-13949 y update
*************************************************************
QA Verified