Red Hat JBoss Enterprise Application Platform（EAP）是紅帽（Red Hat）公司的一套開源的、基于J2EE的中間件平臺(tái)。該平臺(tái)主要用于構(gòu)建、部署和托管Java應(yīng)用程序與服務(wù)。6月6日,RedHat發(fā)布了安全更新，修復(fù)了紅帽Jboss EAP中間件平臺(tái)中發(fā)現(xiàn)的一些重要漏洞。以下是漏洞詳情：Pvl28資訊網(wǎng)——每日最新資訊28at.com

漏洞詳情Pvl28資訊網(wǎng)——每日最新資訊28at.com

來源：https://access.redhat.com/errata/RHSA-2022:4922Pvl28資訊網(wǎng)——每日最新資訊28at.com

1.CVE-2021-42392 CVSS評(píng)分：9.8 嚴(yán)重程度：嚴(yán)重Pvl28資訊網(wǎng)——每日最新資訊28at.com

在h2中發(fā)現(xiàn)了一個(gè)缺陷。H2數(shù)據(jù)庫的org.h2.util.JdbcUtils.getConnection方法以驅(qū)動(dòng)的類名和數(shù)據(jù)庫的URL為參數(shù)。此漏洞允許攻擊者使用此 URL 發(fā)送另一個(gè)服務(wù)器的代碼，從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。這個(gè)問題通過各種攻擊媒介被利用，最明顯的是通過H2控制臺(tái)，這會(huì)導(dǎo)致未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行。Pvl28資訊網(wǎng)——每日最新資訊28at.com

2.CVE-2022-23221 CVSS評(píng)分：9.8 嚴(yán)重程度：嚴(yán)重Pvl28資訊網(wǎng)——每日最新資訊28at.com

在 H2 控制臺(tái)中發(fā)現(xiàn)了一個(gè)缺陷。此漏洞允許遠(yuǎn)程攻擊者通過 JDBC URL 執(zhí)行任意代碼，并與允許使用腳本遠(yuǎn)程執(zhí)行代碼的子字符串連接。Pvl28資訊網(wǎng)——每日最新資訊28at.com

3.CVE-2021-37136 CVSS評(píng)分：7.5 嚴(yán)重程度：重要Pvl28資訊網(wǎng)——每日最新資訊28at.com

Bzip2 解壓解碼器功能不允許對(duì)解壓后的輸出數(shù)據(jù)設(shè)置大小限制（這會(huì)影響解壓期間使用的分配大?。?。Bzip2Decoder 的所有用戶都會(huì)受到影響。惡意輸入可以觸發(fā)OOME和DoS攻擊Pvl28資訊網(wǎng)——每日最新資訊28at.com

4.CVE-2021-37137 CVSS評(píng)分：7.5 嚴(yán)重程度：重要Pvl28資訊網(wǎng)——每日最新資訊28at.com

Snappy 幀解碼器功能不會(huì)限制可能導(dǎo)致內(nèi)存使用過多的塊長度。除此之外，它還可以緩沖保留的可跳過塊，直到接收到整個(gè)塊，這也可能導(dǎo)致過多的內(nèi)存使用。此漏洞可以通過提供解壓縮到非常大的惡意輸入（通過網(wǎng)絡(luò)流或文件）或通過發(fā)送巨大的可跳過塊來觸發(fā)。Pvl28資訊網(wǎng)——每日最新資訊28at.com

5.CVE-2022-24785 CVSS評(píng)分：7.5 嚴(yán)重程度：重要Pvl28資訊網(wǎng)——每日最新資訊28at.com

Moment.js 是一個(gè)用于解析、驗(yàn)證、操作和格式化日期的 JavaScript 日期庫。路徑遍歷漏洞會(huì)在 1.0.1 和 2.29.1 版本之間影響 Moment.js 的 npm（服務(wù)器）用戶，尤其是當(dāng)用戶提供的語言環(huán)境字符串直接用于切換 Moment 語言環(huán)境時(shí)。這個(gè)問題在 2.29.2 中被修復(fù)，補(bǔ)丁可以應(yīng)用到所有受影響的版本。作為一種解決方法，在將用戶提供的語言環(huán)境名稱傳遞給 Moment.js 之前對(duì)其進(jìn)行清理。Pvl28資訊網(wǎng)——每日最新資訊28at.com

受影響產(chǎn)品和版本Pvl28資訊網(wǎng)——每日最新資訊28at.com

JBoss Enterprise Application Platform Text-Only Advisories x86_64Pvl28資訊網(wǎng)——每日最新資訊28at.com

解決方案Pvl28資訊網(wǎng)——每日最新資訊28at.com

官方已經(jīng)發(fā)布 Red Hat JBoss Enterprise Application Platform 7.4.5版本安全更新。需要登錄紅帽官方網(wǎng)站才能下載更新。在應(yīng)用此更新之前，請(qǐng)備份現(xiàn)有的 Red Hat JBoss Enterprise Application Platform 安裝和部署的應(yīng)用程序。Pvl28資訊網(wǎng)——每日最新資訊28at.com

請(qǐng)參閱 Red Hat JBoss Enterprise Application Platform 7.4.5 發(fā)行說明以獲取有關(guān)此發(fā)行版中包含的最重要的錯(cuò)誤修復(fù)和增強(qiáng)功能的信息。Pvl28資訊網(wǎng)——每日最新資訊28at.com

查看更多漏洞信息 以及升級(jí)請(qǐng)?jiān)L問官網(wǎng)：Pvl28資訊網(wǎng)——每日最新資訊28at.com

https://access.redhat.com/security/security-updates/#/security-advisoriesPvl28資訊網(wǎng)——每日最新資訊28at.com

本文鏈接：http://www.www897cc.com/showinfo-119-2365-0.html云安全日?qǐng)?bào)220607：紅帽Jboss中間件平臺(tái)發(fā)現(xiàn)遠(yuǎn)程代碼執(zhí)行漏洞，需要盡快升級(jí)

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識(shí)，若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。郵件：2376512515@qq.com

上一篇： 云計(jì)算開發(fā)：Python3隨機(jī)數(shù)函數(shù)random()方法詳解

下一篇： 云計(jì)算核心技術(shù)Docker教程：使用 Compose 文件部署注冊(cè)服務(wù)器