Apache Commons BCEL <6.6.0 内存越界写入漏洞-低调大师

Apache Commons BCEL <6.6.0 内存越界写入漏洞

2022-11-05 1445

漏洞描述

Apache Commons BCEL 是一个用来分析、创建和操作（二进制）Java 类文件的字节码工程库。

Apache Commons BCEL 在6.6.0之前的版本中由于 ConstantPoolGen 类没有对写入常量池的常量数量进行限制从而存在内存越界写入漏洞，由于Apache Commons BCEL中具有大量修改 Java 类的 API，攻击者可利用这些 API 生成任意字节码，从而造成程序拒绝服务或任意代码执行。

漏洞名称	Apache Commons BCEL <6.6.0 内存越界写入漏洞
漏洞类型	跨界内存写
发现时间	2022-11-05
漏洞影响广度	极小
MPS编号	MPS-2022-59801
CVE编号	CVE-2022-42920
CNVD编号	-

影响范围

org.apache.bcel:bcel@(-∞, 6.6.0)

修复方案

升级org.apache.bcel:bcel到 6.6.0 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-59801

https://nvd.nist.gov/vuln/detail/CVE-2022-42920

https://github.com/apache/commons-bcel/pull/147

https://github.com/apache/commons-bcel/commit/f3267cbcc900f80851d561bdd16b239d936947f5

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/216531

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

BootstrapBlazor v6.12.0 已经发布，Bootstrap 样式的 Blazor UI 组件库

BootstrapBlazor v6.12.0 已经发布，Bootstrap 样式的 Blazor UI 组件库此版本更新内容包括：发布时间 2022-10-06 V6.11.0 V6.12.0 feat(#I5Z36Y): 服务 DownloadService 增加 DownloadFromFileAsync 扩展方法直接给物理路径即可 #I5Z36Y feat(#I5Z543): 组件 Responsive 继承 IDisposable 接口 #I5Z543 feat(#I5Z55D): 组件 Table 重构使用脚本动态载入机制 #I5Z55D feat(#I5ZB6J): 组件 Ajax 重构使用 fetch 代替 jQ $.ajax 方法 #I5ZB6J fix(#I5ZBWL): 修复组件 Pagination 设置 PageIndex 参数首次加载时不生效问题 #I5ZBWL feat(#I5ZGLO): 修复组件 QRCode 更新 Content 参数后二维码不刷新问题 #I5ZBWL fix(#I5ZLPV): 修复组件 Timer 报错问题 #I5ZLPV V...

2022-11-05

497

Gitpod 是一家成立于 2019 年，总部位于德国的开源开发平台。近日 Gitpod 完成了 A 轮融资，在此次融资中他们共筹集到了 2500 万美元。 Gitpod 是一个开源的开发平台，能够协助团队共同完成软件开发。Gitpod 的云开发环境（CDE）可以让开发者在任何设备、任何地方都能进行编程，它还能够与所有主流的工具集成在一起，目前已有超过 75 万名开发者在使用 Gitpod。 Gitpod 背后的理念是减少开发者手动设置和维护开发环境的麻烦。通过使用 Gitpod，开发人员可以方便地使用他们需要的所有工具，更快地升级或创建新应用程序。参与此次融资的阵容倒是十分强大，首先此轮融资由 GitHub 联合创始人，也是前首席执行官 Tom Preston-Werner 领投，参与跟投的包括 Shopify 创始人兼首席执行官 Tobi Lütke、Datadog 创始人兼首席执行官 Olivier Pomel，以及 MongoDB Ventures、Pebblebed、GTMfund 等知名机构。Gitpod 的现有投资者 General Catalyst、Crane Ven...

2022-11-05

417

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。