编程知识 cdmana.com

Cloud Security Daily 210914: Red Hat Jboss Middleware Platform found important Security Vulnerability and needs to be upgraded as soon as possible

Red Hat JBoss Enterprise Application Platform(EAP)C'est Red Hat.(Red Hat)L'ensemble open source de l'entreprise、Basé surJ2EEPlate - forme Middleware pour.La plate - forme est principalement utilisée pour construire、Déploiement et hébergementJavaApplications et services.9Mois13Jour,RedHatMise à jour de sécurité publiée,Le chapeau rouge a été réparéJboss EAPQuelques vulnérabilités importantes trouvées dans la plateforme Middleware.Voici les détails de la vulnérabilité:

Détails de la vulnérabilité

Source::https://access.redhat.com/errata/RHSA-2021:3516

1.CVE-2021-3690 CVSSNotation:7.5 Sévérité:Important

InUndertowUne vulnérabilité a été trouvée dans.EntréeWebSocket PONGUne fuite de tampon sur le message peut entraîner une perte de mémoire.Cette vulnérabilité permet à un attaquant de provoquer un déni de service.La plus grande menace pour cette vulnérabilité est la disponibilité.

2.CVE-2021-28170 CVSSNotation:7.5 Sévérité:Important

InJakartaExpression Language Implementation 3.0.3 Et plus tôt,ELParserTokenManager Une erreur dans invalideELLes expressions peuvent être évaluées,Comme s'ils fonctionnaient.

3.CVE-2021-29425 CVSSNotation:6.5 Sévérité:Important

In Apache Commons IO 2.7 Avant, Lorsqu'il est appelé avec une chaîne d'entrée incorrecte FileNameUtils.normalize La méthode,Par exemple:“//../foo”Ou“\\..\foo”, Le résultat sera la même valeur , Il est donc possible que si le Code d'appel utilise les résultats pour construire la valeur du chemin , Donne accès aux fichiers du répertoire parent , Mais pas d'autre accès (Donc,“Limité” Traversée du chemin )

4.CVE-2021-3597 CVSSNotation:5.9 Sévérité:Moyenne

Red Hat OpenStack Platform De OpenDaylight Cette vulnérabilité ne sera pas mise à jour ,Parce que ça vient deOpenStack Platform 14 A été déprécié , Et ne recevoir que des correctifs de sécurité pour les vulnérabilités critiques et critiques .

5.CVE-2021-3644 CVSSNotation:3.3 Sévérité:Moyenne

Dans toutes les versions wildfly-core Un trou a été trouvé dans . Si l'expression de la chambre forte prend la forme d'un seul attribut contenant plusieurs expressions , Les utilisateurs auxquels l'accès à l'interface administrative est accordé peuvent accéder à des expressions de dépôt auxquelles ils ne devraient pas accéder , Et peut - être récupérer et stocker dans la chambre forte . La plus grande menace à cette vulnérabilité est la confidentialité et l'intégrité des données .

Produits et versions concernés

JBoss Enterprise Application Platform Text-Only Advisories x86_64

Solutions

La vulnérabilité ci - dessus est déjà EAP 7.3.x Réparation dans la Fondation , Il est recommandé de mettre à jour et de réparer en temps opportun

Voir plus d'informations sur la vulnérabilité Et les mises à jour sur le site officiel:

https://access.redhat.com/security/security-updates/#/security-advisories

版权声明
本文为[Techweb]所创,转载请带上原文链接,感谢
https://cdmana.com/2021/09/20210914165824054s.html

Scroll to Top