云安全日?qǐng)?bào)220207:紅帽Jboss中間件平臺(tái)發(fā)現(xiàn)遠(yuǎn)程代碼執(zhí)行漏洞,需
2022-02-07 16:48 來(lái)源:TechWeb 作者:笑笑 閱讀量:10449
您當(dāng)前的位置:快訊網(wǎng) > 財(cái)經(jīng)
Red Hat JBoss Enterprise Application Platform是紅帽公司的一套開(kāi)源的,基于J2EE的中間件平臺(tái)該平臺(tái)主要用于構(gòu)建,部署和托管Java應(yīng)用程序與服務(wù)日前,RedHat發(fā)布了安全更新,修復(fù)了紅帽Jboss EAP中間件平臺(tái)中發(fā)現(xiàn)的一些重要漏洞
漏洞詳情
1.CVE—2022—23305 CVSS評(píng)分:8.1 嚴(yán)重程度:嚴(yán)重
在 1.x 版的 Java 日志庫(kù) Apache Log4j 中發(fā)現(xiàn)了一個(gè)漏洞Log4j 1.x 中的 JDBCAppender 容易受到不受信任數(shù)據(jù)中的SQL注入的影響如果部署的應(yīng)用程序被配置為使用帶有某些插值令牌的 JDBCAppender,這允許遠(yuǎn)程攻擊者在數(shù)據(jù)庫(kù)中運(yùn)行 SQL 語(yǔ)句
2.CVE—2022—23307 CVSS評(píng)分:8.1 嚴(yán)重程度:嚴(yán)重
在log4j 1.x鏈鋸組件中發(fā)現(xiàn)了一個(gè)漏洞,其中某些日志條目的內(nèi)容被反序列化并可能允許代碼執(zhí)行此漏洞允許攻擊者在運(yùn)行電鋸組件時(shí)向服務(wù)器發(fā)送帶有序列化數(shù)據(jù)的惡意請(qǐng)求以進(jìn)行反序列化
3.CVE—2021—4104 CVSS評(píng)分:7.5 嚴(yán)重程度:嚴(yán)重
在 1.x 版的 Java 日志庫(kù) Apache Log4j 中發(fā)現(xiàn)了一個(gè)漏洞Log4j 1.x 中的 JMSAppender 容易受到不受信任數(shù)據(jù)的反序列化如果部署的應(yīng)用程序配置為使用 JMSAppender 和攻擊者的 JNDI LDAP 端點(diǎn),這允許遠(yuǎn)程攻擊者在服務(wù)器上執(zhí)行代碼
4.CVE—2022—23302 CVSS評(píng)分:7.5 嚴(yán)重程度:嚴(yán)重
在 1.x 版的 Java 日志庫(kù) Apache Log4j 中發(fā)現(xiàn)了一個(gè)漏洞Log4j 1.x 中的 JMSSink 容易受到不受信任數(shù)據(jù)的反序列化如果部署了 JMSSink 并且已配置為執(zhí)行 JNDI 請(qǐng)求,這允許遠(yuǎn)程攻擊者在服務(wù)器上執(zhí)行代碼
受影響產(chǎn)品和版本
JBoss Enterprise Application Platform 6.4 for RHEL 7 x86_64
JBoss Enterprise Application Platform 6.4 for RHEL 7 ppc64
JBoss Enterprise Application Platform 6.4 for RHEL 6 x86_64
JBoss Enterprise Application Platform 6.4 for RHEL 6 ppc64
JBoss Enterprise Application Platform 6.4 for RHEL 6 i386
JBoss Enterprise Application Platform 6 for RHEL 7 x86_64
JBoss Enterprise Application Platform 6 for RHEL 7 ppc64
JBoss Enterprise Application Platform 6 for RHEL 6 x86_64
JBoss Enterprise Application Platform 6 for RHEL 6 ppc64
JBoss Enterprise Application Platform 6 for RHEL 6 i386
解決方案
Red Hat JBoss Enterprise Application Platform 6.4 for Red Hat Enterprise Linux 5,6 和 7 的更新現(xiàn)已推出。
有關(guān)如何應(yīng)用此更新的詳細(xì)信息,請(qǐng)參閱:
在暗流中發(fā)現(xiàn)一個(gè)漏洞。傳入的WebSocketPONG消息上的緩沖區(qū)泄漏可能會(huì)導(dǎo)致內(nèi)存耗盡。此漏洞允許攻擊者造成拒絕服務(wù)。該漏洞的最大威脅是可用性。
本文地址:http://www.dayishuiji.com/finance/20951.html - 轉(zhuǎn)載請(qǐng)保留原文鏈接。| 免責(zé)聲明:本文轉(zhuǎn)載上述內(nèi)容出于傳遞更多信息之目的,不代表本網(wǎng)的觀點(diǎn)和立場(chǎng),故本網(wǎng)對(duì)其真實(shí)性不負(fù)責(zé),也不構(gòu)成任何其他建議;本網(wǎng)站圖片,文字之類(lèi)版權(quán)申明,因?yàn)榫W(wǎng)站可以由注冊(cè)用戶(hù)自行上傳圖片或文字,本網(wǎng)站無(wú)法鑒別所上傳圖片或文字的知識(shí)版權(quán),如果侵犯,請(qǐng)及時(shí)通知我們,本網(wǎng)站將在第一時(shí)間及時(shí)刪除。 |
