Red Hat JBoss Enterprise Application Platform(EAP)是紅帽(Red Hat)公司的一套開源的、基于J2EE的中間件平臺�。該平臺主要用于構(gòu)建���、部署和托管Java應(yīng)用程序與服務(wù)���。6月6日,RedHat發(fā)布了安全更新���,修復(fù)了紅帽Jboss EAP中間件平臺中發(fā)現(xiàn)的一些重要漏洞�����。以下是漏洞詳情:2FX28資訊網(wǎng)——每日最新資訊28at.com
漏洞詳情2FX28資訊網(wǎng)——每日最新資訊28at.com
來源:https://access.redhat.com/errata/RHSA-2022:49222FX28資訊網(wǎng)——每日最新資訊28at.com
1.CVE-2021-42392 CVSS評分:9.8 嚴重程度:嚴重2FX28資訊網(wǎng)——每日最新資訊28at.com
在h2中發(fā)現(xiàn)了一個缺陷���。H2數(shù)據(jù)庫的org.h2.util.JdbcUtils.getConnection方法以驅(qū)動的類名和數(shù)據(jù)庫的URL為參數(shù)。此漏洞允許攻擊者使用此 URL 發(fā)送另一個服務(wù)器的代碼�,從而導(dǎo)致遠程代碼執(zhí)行�。這個問題通過各種攻擊媒介被利用���,最明顯的是通過H2控制臺����,這會導(dǎo)致未經(jīng)身份驗證的遠程代碼執(zhí)行。2FX28資訊網(wǎng)——每日最新資訊28at.com
2.CVE-2022-23221 CVSS評分:9.8 嚴重程度:嚴重2FX28資訊網(wǎng)——每日最新資訊28at.com
在 H2 控制臺中發(fā)現(xiàn)了一個缺陷��。此漏洞允許遠程攻擊者通過 JDBC URL 執(zhí)行任意代碼��,并與允許使用腳本遠程執(zhí)行代碼的子字符串連接���。2FX28資訊網(wǎng)——每日最新資訊28at.com
3.CVE-2021-37136 CVSS評分:7.5 嚴重程度:重要2FX28資訊網(wǎng)——每日最新資訊28at.com
Bzip2 解壓解碼器功能不允許對解壓后的輸出數(shù)據(jù)設(shè)置大小限制(這會影響解壓期間使用的分配大?。?��。Bzip2Decoder 的所有用戶都會受到影響��。惡意輸入可以觸發(fā)OOME和DoS攻擊2FX28資訊網(wǎng)——每日最新資訊28at.com
4.CVE-2021-37137 CVSS評分:7.5 嚴重程度:重要2FX28資訊網(wǎng)——每日最新資訊28at.com
Snappy 幀解碼器功能不會限制可能導(dǎo)致內(nèi)存使用過多的塊長度�����。除此之外,它還可以緩沖保留的可跳過塊����,直到接收到整個塊��,這也可能導(dǎo)致過多的內(nèi)存使用。此漏洞可以通過提供解壓縮到非常大的惡意輸入(通過網(wǎng)絡(luò)流或文件)或通過發(fā)送巨大的可跳過塊來觸發(fā)���。2FX28資訊網(wǎng)——每日最新資訊28at.com
5.CVE-2022-24785 CVSS評分:7.5 嚴重程度:重要2FX28資訊網(wǎng)——每日最新資訊28at.com
Moment.js 是一個用于解析���、驗證�����、操作和格式化日期的 JavaScript 日期庫�����。路徑遍歷漏洞會在 1.0.1 和 2.29.1 版本之間影響 Moment.js 的 npm(服務(wù)器)用戶,尤其是當(dāng)用戶提供的語言環(huán)境字符串直接用于切換 Moment 語言環(huán)境時。這個問題在 2.29.2 中被修復(fù)�����,補丁可以應(yīng)用到所有受影響的版本���。作為一種解決方法,在將用戶提供的語言環(huán)境名稱傳遞給 Moment.js 之前對其進行清理。2FX28資訊網(wǎng)——每日最新資訊28at.com
受影響產(chǎn)品和版本2FX28資訊網(wǎng)——每日最新資訊28at.com
JBoss Enterprise Application Platform Text-Only Advisories x86_642FX28資訊網(wǎng)——每日最新資訊28at.com
解決方案2FX28資訊網(wǎng)——每日最新資訊28at.com
官方已經(jīng)發(fā)布 Red Hat JBoss Enterprise Application Platform 7.4.5版本安全更新����。需要登錄紅帽官方網(wǎng)站才能下載更新。在應(yīng)用此更新之前,請備份現(xiàn)有的 Red Hat JBoss Enterprise Application Platform 安裝和部署的應(yīng)用程序。2FX28資訊網(wǎng)——每日最新資訊28at.com
請參閱 Red Hat JBoss Enterprise Application Platform 7.4.5 發(fā)行說明以獲取有關(guān)此發(fā)行版中包含的最重要的錯誤修復(fù)和增強功能的信息��。2FX28資訊網(wǎng)——每日最新資訊28at.com
查看更多漏洞信息 以及升級請訪問官網(wǎng):2FX28資訊網(wǎng)——每日最新資訊28at.com
https://access.redhat.com/security/security-updates/#/security-advisories2FX28資訊網(wǎng)——每日最新資訊28at.com
本文鏈接:http://m.www897cc.com/showinfo-119-2365-0.html云安全日報220607:紅帽Jboss中間件平臺發(fā)現(xiàn)遠程代碼執(zhí)行漏洞����,需要盡快升級
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識,若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
上一篇: 云計算開發(fā):Python3隨機數(shù)函數(shù)random()方法詳解
下一篇: 云計算核心技術(shù)Docker教程:使用 Compose 文件部署注冊服務(wù)器
津公網(wǎng)安備 12010102000574號