Red Hat JBoss Enterprise Application Platform(EAP)C'est Red Hat.(Red Hat)L'ensemble open source de l'entreprise、Basé surJ2EEPlate - forme Middleware pour.La plate - forme est principalement utilisée pour construire、Déploiement et hébergementJavaApplications et services.9Mois13Jour,RedHatMise à jour de sécurité publiée,Le chapeau rouge a été réparéJboss EAPQuelques vulnérabilités importantes trouvées dans la plateforme Middleware.Voici les détails de la vulnérabilité:
Détails de la vulnérabilité
Source::https://access.redhat.com/errata/RHSA-2021:3516
1.CVE-2021-3690 CVSSNotation:7.5 Sévérité:Important
InUndertowUne vulnérabilité a été trouvée dans.EntréeWebSocket PONGUne fuite de tampon sur le message peut entraîner une perte de mémoire.Cette vulnérabilité permet à un attaquant de provoquer un déni de service.La plus grande menace pour cette vulnérabilité est la disponibilité.
2.CVE-2021-28170 CVSSNotation:7.5 Sévérité:Important
InJakartaExpression Language Implementation 3.0.3 Et plus tôt,ELParserTokenManager Une erreur dans invalideELLes expressions peuvent être évaluées,Comme s'ils fonctionnaient.
3.CVE-2021-29425 CVSSNotation:6.5 Sévérité:Important
In Apache Commons IO 2.7 Avant, Lorsqu'il est appelé avec une chaîne d'entrée incorrecte FileNameUtils.normalize La méthode,Par exemple:“//../foo”Ou“\\..\foo”, Le résultat sera la même valeur , Il est donc possible que si le Code d'appel utilise les résultats pour construire la valeur du chemin , Donne accès aux fichiers du répertoire parent , Mais pas d'autre accès (Donc,“Limité” Traversée du chemin )
4.CVE-2021-3597 CVSSNotation:5.9 Sévérité:Moyenne
Red Hat OpenStack Platform De OpenDaylight Cette vulnérabilité ne sera pas mise à jour ,Parce que ça vient deOpenStack Platform 14 A été déprécié , Et ne recevoir que des correctifs de sécurité pour les vulnérabilités critiques et critiques .
5.CVE-2021-3644 CVSSNotation:3.3 Sévérité:Moyenne
Dans toutes les versions wildfly-core Un trou a été trouvé dans . Si l'expression de la chambre forte prend la forme d'un seul attribut contenant plusieurs expressions , Les utilisateurs auxquels l'accès à l'interface administrative est accordé peuvent accéder à des expressions de dépôt auxquelles ils ne devraient pas accéder , Et peut - être récupérer et stocker dans la chambre forte . La plus grande menace à cette vulnérabilité est la confidentialité et l'intégrité des données .
Produits et versions concernés
JBoss Enterprise Application Platform Text-Only Advisories x86_64
Solutions
La vulnérabilité ci - dessus est déjà EAP 7.3.x Réparation dans la Fondation , Il est recommandé de mettre à jour et de réparer en temps opportun
Voir plus d'informations sur la vulnérabilité Et les mises à jour sur le site officiel:
https://access.redhat.com/security/security-updates/#/security-advisories
版权声明
本文为[Techweb]所创,转载请带上原文链接,感谢
https://cdmana.com/2021/09/20210914165824054s.html
