Apache软件基金会修复了Apache Arrow R软件包中的一个严重安全漏洞（CVE-2024-52338），影响4.0.0至16.1.0版本。攻击者可利用该漏洞在处理恶意制作的数据文件时执行任意代码。Apache Arrow是一种用于快速数据交换和内存分析的工具，R arrow软件包允许R用户访问其功能。漏洞源于IPC和Parquet读取器中不安全的数据反序列化，读取不受信任来源的Arrow IPC、Feather或Parquet文件应用程序易受攻击。该漏洞可能导致攻击者入侵系统并访问敏感数据，建议用户立即升级到17.0.0或更高版本，或使用临时解决方法将不受信任的数据读入表并使用to_data_frame()方法。

⚠️ **漏洞详情：**该漏洞源于受影响的R软件包版本中的IPC和Parquet读取器中不安全的数据反序列化，攻击者可以通过恶意构造的数据文件触发漏洞。

💻 **影响范围：** 从用户提供的输入文件等不信任来源读取Arrow IPC、Feather或Parquet文件的应用程序尤其容易受到攻击，可能导致系统被入侵和敏感数据泄露。

🛡️ **缓解措施：** Apache软件基金会建议用户立即升级到Apache Arrow R软件包的17.0.0或更高版本，以修复此漏洞并确保系统安全。

🔄 **临时解决方法：**对于无法立即升级的用户，可以将不受信任的数据读入表，并使用其内部的to_data_frame()方法来缓解风险，例如：read_parquet(…, as_data_frame = FALSE)$to_data_frame()。

Apache 软件基金会已解决 Apache Arrow R 软件包中的一个重要安全漏洞 (CVE-2024-52338)。该漏洞影响 4.0.0 至 16.1.0 版本，攻击者可利用该漏洞在处理恶意制作的数据文件的系统上执行任意代码。Apache Arrow 是一种用于快速数据交换和内存分析的通用列格式和多语言工具箱。它包含一系列技术，使数据系统能够高效地存储、处理和移动数据。R arrow 软件包可让 R 用户访问 Apache Arrow C++ 库的许多功能。漏洞详情：该漏洞源于受影响的 R 软件包版本中的 IPC 和 Parquet 阅读器中不安全的数据反序列化。从用户提供的输入文件等不信任来源读取 Arrow IPC、Feather 或 Parquet 文件的应用程序尤其容易受到攻击。影响和范围：利用 CVE-2024-52338 漏洞可能会造成严重后果，使攻击者能够入侵系统并可能在未经授权的情况下访问敏感数据。值得注意的是，该漏洞是 Apache Arrow R 软件包特有的，不会直接影响其他 Apache Arrow 实现或绑定。但是，将这些其他实现与存在漏洞的 R 软件包结合使用的应用程序仍然存在风险。缓解措施：Apache 软件基金会敦促用户立即升级到 Apache Arrow R 软件包的 17.0.0 或更高版本。依赖于受影响软件包的下游库也应相应更新其依赖关系。受影响版本的解决方法：对于无法立即升级的用户，临时的解决方法是将不受信任的数据读入表，并使用其内部的 to_data_frame() 方法。例如，read_parquet(…, as_data_frame = FALSE)$to_data_frame()。