易商讯
当前位置: 首页 » 网络 » 科技 » 正文

云安全日报220607:红帽Jboss中间件平台发现远程代码执行漏洞,需要尽快升级

放大字体  缩小字体 发布日期:2022-06-07 20:55:30
导读

Red Hat JBoss Enterprise Application Platform(EAP)是红帽(Red Hat)公司的一套开源的、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。6月6日,RedHat发布了安全更新,修复了红帽Jboss EAP中间件平台中发现的一些重要漏洞。以下是漏洞详情:漏洞详情来源:https://access.redhat.com/errat

Red Hat JBoss Enterprise Application Platform(EAP)是红帽(Red Hat)公司的一套开源的、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。6月6日,RedHat发布了安全更新,修复了红帽Jboss EAP中间件平台中发现的一些重要漏洞。以下是漏洞详情:

漏洞详情

来源:https://access.redhat.com/errata/RHSA-2022:4922

1.CVE-2021-42392 CVSS评分:9.8 严重程度:严重

在h2中发现了一个缺陷。H2数据库的org.h2.util.JdbcUtils.getConnection方法以驱动的类名和数据库的URL为参数。此漏洞允许攻击者使用此 URL 发送另一个服务器的代码,从而导致远程代码执行。这个问题通过各种攻击媒介被利用,最明显的是通过H2控制台,这会导致未经身份验证的远程代码执行。

2.CVE-2022-23221 CVSS评分:9.8 严重程度:严重

在 H2 控制台中发现了一个缺陷。此漏洞允许远程攻击者通过 JDBC URL 执行任意代码,并与允许使用脚本远程执行代码的子字符串连接。

3.CVE-2021-37136 CVSS评分:7.5 严重程度:重要

Bzip2 解压解码器功能不允许对解压后的输出数据设置大小限制(这会影响解压期间使用的分配大小)。Bzip2Decoder 的所有用户都会受到影响。恶意输入可以触发OOME和DoS攻击

4.CVE-2021-37137 CVSS评分:7.5 严重程度:重要

Snappy 帧解码器功能不会限制可能导致内存使用过多的块长度。除此之外,它还可以缓冲保留的可跳过块,直到接收到整个块,这也可能导致过多的内存使用。此漏洞可以通过提供解压缩到非常大的恶意输入(通过网络流或文件)或通过发送巨大的可跳过块来触发。

5.CVE-2022-24785 CVSS评分:7.5 严重程度:重要

Moment.js 是一个用于解析、验证、操作和格式化日期的 Javascript 日期库。路径遍历漏洞会在 1.0.1 和 2.29.1 版本之间影响 Moment.js 的 npm(服务器)用户,尤其是当用户提供的语言环境字符串直接用于切换 Moment 语言环境时。这个问题在 2.29.2 中被修复,补丁可以应用到所有受影响的版本。作为一种解决方法,在将用户提供的语言环境名称传递给 Moment.js 之前对其进行清理。

受影响产品和版本

JBoss Enterprise Application Platform Text-only Advisories x86_64

解决方案

官方已经发布 Red Hat JBoss Enterprise Application Platform 7.4.5版本安全更新。需要登录红帽官方网站才能下载更新。在应用此更新之前,请备份现有的 Red Hat JBoss Enterprise Application Platform 安装和部署的应用程序。

请参阅 Red Hat JBoss Enterprise Application Platform 7.4.5 发行说明以获取有关此发行版中包含的最重要的错误修复和增强功能的信息。

查看更多漏洞信息 以及升级请访问官网:

https://access.redhat.com/security/security-updates/#/security-advisories

 
(文/Techweb)
免责声明
• 
本文云安全日报220607:红帽Jboss中间件平台发现远程代码执行漏洞,需要尽快升级链接:http://www.esxun.cn/internet/63746.html 。本文仅代表作者个人观点,请读者仅做参考,如若文中涉及有违公德、触犯法律的内容,一经发现,立即删除,作者需自行承担相应责任。涉及到版权或其他问题,请及时联系我们,我们将在24小时内处理完毕。如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,否则视为放弃相关权利。
 

Copyright © www.esxun.cn 易商讯ALL Right Reserved


冀ICP备2023038169号-3