Apache bRPC代码执行漏洞

• 漏洞编号：CVE-2023-31039
  
• 漏洞类型：代码执行
• 漏洞等级：高危
• 发布时间：2023-05-08

漏洞描述：

Apache bRPC 是由百度主导并开源的一款工业级C++ RPC框架，常用于搜索、存储、机器学习、广告、推荐等高性能系统。

Apache bRPC版本<1.5.0（所有平台）中，威胁者如果能够影响bRPC服务器启动时的ServerOptions pid_file参数，则可以使用bRPC进程的权限执行任意代码。

影响版本：

目前受影响的Apache bRPC版本：

Apache bRPC < 1.5.0（所有平台）

修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

Apache bRPC版本：>= 1.5.0

下载链接：

https://dist.apache.org/repos/dist/release/brpc/1.5.0/

如果使用的是旧版本的bRPC并且难以升级，可以应用补丁：

https://github.com/apache/brpc/pull/2218

所需配置：

从用户输入设置 brpc::ServerOptions::pid_file。