• 注册
  • 云计算 云计算 关注:2 内容:37098

    云安全日报210914:红帽Jboss中间件平台发现重要安全漏洞,需要尽快升级

  • 查看作者
  • 打赏作者
  • 当前位置: 职业司 > 资讯 > 云计算 > 正文
    • 云计算
    • Red Hat JBoss Enterprise Application Platform(EAP)是红帽(Red Hat)公司的一套开源的、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。9月13日,RedHat发布了安全更新,修复了红帽Jboss EAP中间件平台中发现的一些重要漏洞。以下是漏洞详情:

      漏洞详情

      来源: 链接

      1.CVE-2021-3690 CVSS评分:7.5 严重程度:重要

      在Undertow中发现了一个漏洞。传入的WebSocket PONG消息上的缓冲区泄漏可能会导致内存耗尽。此漏洞允许攻击者造成拒绝服务。此漏洞的最大威胁是可用性。

      2.CVE-2021-28170 CVSS评分:7.5 严重程度:重要

      在Jakarta表达式语言实现 3.0.3 及更早版本中,ELParserTokenManager 中的一个错误使无效的EL表达式能够被评估,就好像它们是有效的一样。

      3.CVE-2021-29425 CVSS评分:6.5 严重程度:重要

      在 Apache Commons IO 2.7 之前,当使用不正确的输入字符串调用 FileNameUtils.normalize 方法时,如“//../foo”或“\\..\foo”,结果将是相同的值,因此可能如果调用代码将使用结果来构造路径值,则提供对父目录中文件的访问,但不能进一步访问(因此“受限”路径遍历)

      4.CVE-2021-3597 CVSS评分:5.9 严重程度:中等

      Red Hat OpenStack Platform 的 OpenDaylight将不会针对此漏洞进行更新,因为它自OpenStack Platform 14起已被弃用,并且仅接收针对重要和关键漏洞的安全修复程序。

      5.CVE-2021-3644 CVSS评分:3.3 严重程度:中等

      在所有版本的 wildfly-core 中都发现了一个漏洞。如果保管库表达式采用包含多个表达式的单个属性的形式,则被授予管理界面访问权限的用户可能会访问他们不应访问的保管库表达式,并可能检索存储在金库。此漏洞的最大威胁是数据机密性和完整性。

      受影响产品和版本

      JBoss Enterprise Application Platform Text-Only Advisories x86_64

      解决方案

      上述漏洞已在EAP 7.3.x基础中修复,建议及时升级修复

      查看更多漏洞信息 以及升级请访问官网:

      链接

      请登录之后再进行评论

      登录

      手机阅读天地(APP)

      • 微信公众号
      • 微信小程序
      • 安卓APP
      手机浏览,惊喜多多
      匿名树洞,说我想说!
      问答悬赏,VIP可见!
      密码可见,回复可见!
      即时聊天、群聊互动!
      宠物孵化,赠送礼物!
      动态像框,专属头衔!
      挑战/抽奖,金币送不停!
      赶紧体会下,不会让你失望!
    • 实时动态
    • 签到
    • 做任务
    • 发表内容
    • 偏好设置
    • 到底部
    • 帖子间隔 侧栏位置:
    • 还没有账号?点这里立即注册