Apache Karaf 存在远程代码执行漏洞
漏洞描述
Apache Karaf 是一个开源的 modulith 运行时环境,用于在本地或云端部署业务代码或应用程序。
Apache Karaf 的受影响版本中的 JDBCUtils.java 类中的 doCreateDatasource 方法由于未对用户传入的 JNDI URI 进行有效过滤,导致 InitialContext.lookup 加载恶意的 jndiName 时存在远程代码执行漏洞。当攻击者控制了 Karaf JNDI URL 中的目标 LDAP 服务器时,Karaf 用户可通过将 JDBCUtils.DATASOURCE 配置为 jndi:rmi://x.x.x.x:xxxx/Command 远程执行恶意代码。
| 漏洞名称 | Apache Karaf 存在远程代码执行漏洞 |
|---|---|
| 漏洞类型 | - |
| 发现时间 | 2022-12-22 |
| 漏洞影响广度 | 极小 |
| MPS编号 | MPS-2022-69328 |
| CVE编号 | CVE-2022-40145 |
| CNVD编号 | - |
影响范围
org.apache.karaf:apache-karaf@[4.4.0, 4.4.2)
org.apache.karaf:apache-karaf@[2.0.1, 4.3.8)
修复方案
升级org.apache.karaf:apache-karaf到 4.4.2 或 4.3.8 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-69328
https://karaf.apache.org/security/cve-2022-40145.txt
https://karaf.apache.org/security/cve-2022-40145.txt
https://github.com/apache/karaf/pull/1632/commits/3819f4834192f0f38f5ffef1ca8ea165a80eb8f0
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
《铜豌豆 Linux》11.6.1 版本发布
《铜豌豆 Linux》11.6.1 版本发布 2022-12-22 2022-12-17, Debian 官方发布 11.6 版本: https://www.debian.org/News/2022/20221217 铜豌豆 Linux 跟进发布 11.6.1。 铜豌豆软件源同时发布匹配 Debian 11 的软件源 11.6.1 版本。 安装文件 iso 下载 安装文件大小约 3.5 G https://mike.atzlinux.com:58888/atzlinux-cd/11.6.1/amd64/iso-dvd/atzlinux-11.6.1-amd64-DVD-1.iso https://motion.atzlinux.com:18761/atzlinux-cd/11.6.1/amd64/iso-dvd/atzlinux-11.6.1-amd64-DVD-1.iso https://hncsdxwq.atzlinux.com:1880/atzlinux-cd/11.6.1/amd64/iso-dvd/atzlinux-11.6.1-amd64-DVD-1.iso http://...
- 下一篇
Apache Karaf 存在远程代码执行漏洞
漏洞描述 Apache Karaf 是一个用于部署业务代码或应用程序的 modulith 运行时环境。 Apache Karaf 的受影响版本中由于 jaas.modules.src.main.java.porg.apache.karaf.jass.modules.jdbc.JDBCUtils#doCreateDatasourceuse 中的 lookup 方法没有对 jndiName 有效过滤从而存在远程代码执行漏洞。当攻击者对 Karaf JDBC 数据源可控时,攻击者可通过将 JDBCUtils.DATASOURCE 配置为恶意的 LDAP/RMI 服务器(如 jndi:rmi://x.x.x.x:xxxx/Command )远程执行恶意代码。 漏洞名称 Apache Karaf 存在远程代码执行漏洞 漏洞类型 - 发现时间 2022-12-22 漏洞影响广度 极小 MPS编号 MPS-2022-69328 CVE编号 CVE-2022-40145 CNVD编号 - 影响范围 org.apache.karaf:apache-karaf@[4.4.0, 4.4.2) org.a...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Red5直播服务器,属于Java语言的直播服务器
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
微信收款码
支付宝收款码