Red Hat JBoss Enterprise Application Platform是紅帽公司的一套開源的，基于J2EE的中間件平臺該平臺主要用于構建，部署和托管Java應用程序與服務日前，RedHat發布了安全更新，修復了紅帽Jboss EAP中間件平臺中發現的一些重要漏洞

漏洞詳情

1.CVE—2022—23305 CVSS評分:8.1 嚴重程度:嚴重

在 1.x 版的 Java 日志庫 Apache Log4j 中發現了一個漏洞Log4j 1.x 中的 JDBCAppender 容易受到不受信任數據中的SQL注入的影響如果部署的應用程序被配置為使用帶有某些插值令牌的 JDBCAppender，這允許遠程攻擊者在數據庫中運行 SQL 語句

2.CVE—2022—23307 CVSS評分:8.1 嚴重程度:嚴重

在log4j 1.x鏈鋸組件中發現了一個漏洞，其中某些日志條目的內容被反序列化并可能允許代碼執行此漏洞允許攻擊者在運行電鋸組件時向服務器發送帶有序列化數據的惡意請求以進行反序列化

3.CVE—2021—4104 CVSS評分:7.5 嚴重程度:嚴重

在 1.x 版的 Java 日志庫 Apache Log4j 中發現了一個漏洞Log4j 1.x 中的 JMSAppender 容易受到不受信任數據的反序列化如果部署的應用程序配置為使用 JMSAppender 和攻擊者的 JNDI LDAP 端點，這允許遠程攻擊者在服務器上執行代碼

4.CVE—2022—23302 CVSS評分:7.5 嚴重程度:嚴重

在 1.x 版的 Java 日志庫 Apache Log4j 中發現了一個漏洞Log4j 1.x 中的 JMSSink 容易受到不受信任數據的反序列化如果部署了 JMSSink 并且已配置為執行 JNDI 請求，這允許遠程攻擊者在服務器上執行代碼

受影響產品和版本

JBoss Enterprise Application Platform 6.4 for RHEL 7 x86_64

JBoss Enterprise Application Platform 6.4 for RHEL 7 ppc64

JBoss Enterprise Application Platform 6.4 for RHEL 6 x86_64

JBoss Enterprise Application Platform 6.4 for RHEL 6 ppc64

JBoss Enterprise Application Platform 6.4 for RHEL 6 i386

JBoss Enterprise Application Platform 6 for RHEL 7 x86_64

JBoss Enterprise Application Platform 6 for RHEL 7 ppc64

JBoss Enterprise Application Platform 6 for RHEL 6 x86_64

JBoss Enterprise Application Platform 6 for RHEL 6 ppc64

JBoss Enterprise Application Platform 6 for RHEL 6 i386

解決方案

Red Hat JBoss Enterprise Application Platform 6.4 for Red Hat Enterprise Linux 5，6 和 7 的更新現已推出。

有關如何應用此更新的詳細信息，請參閱:

在暗流中發現一個漏洞。傳入的WebSocketPONG消息上的緩沖區泄漏可能會導致內存耗盡。此漏洞允許攻擊者造成拒絕服務。該漏洞的最大威脅是可用性。

本文地址：http://www.dayishuiji.com/finance/20951.html - 轉載請保留原文鏈接。

免責聲明：本文轉載上述內容出于傳遞更多信息之目的，不代表本網的觀點和立場，故本網對其真實性不負責，也不構成任何其他建議；本網站圖片，文字之類版權申明，因為網站可以由注冊用戶自行上傳圖片或文字，本網站無法鑒別所上傳圖片或文字的知識版權，如果侵犯，請及時通知我們，本網站將在第一時間及時刪除。