Apache Karaf 存在远程代码执行漏洞
漏洞描述
Apache Karaf 是一个用于部署业务代码或应用程序的 modulith 运行时环境。
Apache Karaf 的受影响版本中由于 jaas.modules.src.main.java.porg.apache.karaf.jass.modules.jdbc.JDBCUtils#doCreateDatasourceuse 中的 lookup 方法没有对 jndiName 有效过滤从而存在远程代码执行漏洞。当攻击者对 Karaf JDBC 数据源可控时,攻击者可通过将 JDBCUtils.DATASOURCE 配置为恶意的 LDAP/RMI 服务器(如 jndi:rmi://x.x.x.x:xxxx/Command )远程执行恶意代码。
漏洞名称 | Apache Karaf 存在远程代码执行漏洞 |
---|---|
漏洞类型 | 注入 |
发现时间 | 2022/12/22 |
漏洞影响广度 | 极小 |
MPS编号 | MPS-2022-69328 |
CVE编号 | CVE-2022-40145 |
CNVD编号 | - |
影响范围
org.apache.karaf:apache-karaf@[4.4.0, 4.4.2)
org.apache.karaf:apache-karaf@[2.0.1, 4.3.8)
修复方案
升级org.apache.karaf:apache-karaf到 4.4.2 或 4.3.8 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-69328
https://nvd.nist.gov/vuln/detail/CVE-2022-40145
https://karaf.apache.org/security/cve-2022-40145.txt
https://github.com/apache/karaf/pull/1632/commits/3819f4834192f0f38f5ffef1ca8ea165a80eb8f0
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=csdn
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=csdn
Apache Karaf 存在远程代码执行漏洞相关推荐
- 漏洞预警|Apache Karaf 存在远程代码执行漏洞
棱镜七彩安全预警 近日网上有关于开源项目 Apache Karaf 存在远程代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应. 项目 ...
- 如何看待 Apache Log4j 2 远程代码执行漏洞?
Apache Log4j2 是一款优秀的 Java 日志框架,大量的业务框架都使用了该组件. 2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 ...
- rmi远程代码执行漏洞_【漏洞通告】Apache Solr远程代码执行漏洞
1.综述 Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器.该产品支持层面搜索.垂直搜索.高亮显示搜索结果等. Apache Solr ...
- 【安全风险通告】Apache ShardingSphere远程代码执行漏洞安全风险通告
近日,奇安信云影实验室安全研究员maoge发现Apache ShardingSphere存在远程代码执行漏洞,目前官方已为该漏洞分配CVE编号:CVE-2020-1947.截至今日,该漏洞已修复.鉴于 ...
- Apache Log4j2远程代码执行漏洞风险紧急通告,腾讯安全支持全面检测拦截
腾讯安全注意到,一个Apache Log4j2的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码. 漏洞描述: 腾讯安全注意到,一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开,L ...
- JAVA CGI 远程代码执行_Apache Tomcat CVE-2019-0232 远程代码执行漏洞
2019年4月10日,Apache Tomcat报告了一个漏洞称在windows上运行的Apache Tomcat存在远程代码执行漏洞,漏洞编号为CVE-2019-0232.在Windows平台,远程 ...
- Struts2被曝远程代码执行漏洞;叮咚买菜抢菜工具;find替代方案…|叨资讯
点击关注强哥,还有100多G的面试资料等你来拿 哈喽,大家好,我是强哥. Struts2被曝远程代码执行漏洞:Facebook开源文本编辑器库Lexical:PyCharm 2022.1 正式发布:一 ...
- 9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615
9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616).远程代码执行漏洞(CVE-2017-12615 ...
- Apache Log4j2远程代码执行漏洞攻击,华为云安全支持检测拦截
近日,华为云安全团队关注到Apache Log4j2 的远程代码执行最新漏洞.Apache Log4j2是一款业界广泛使用的基于Java的日志工具,该组件使用范围广泛,利用门槛低,漏洞危害极大.华为云 ...
最新文章
- Cyber​​ RT开发人员工具
- 这位年仅27岁的阿联酋人工智能部长,竟计划2117年火星造城,真是有钱帅气又任性!
- Altium Designer中如何仅显示顶层的元件和顶层布线
- 【转】软件工程师的年终总结2
- python基本随机生成函数_Python学习笔记(三):随机生成函数方法
- Winform自动更新组件分享
- 返回局部变量或临时变量的地址_值传递和地址返回两者在堆区(Heap)应用的三种易错点...
- One Order行项目里Item Category是怎么计算出来的
- 微信小程序本地存储存储_如何利用本地存储构建快速的应用程序
- 小型团队快速开发方法
- 芯片人才平均薪资近万元 2020年芯片人才缺口超30万
- JavaScript:class类的实现方式及特点
- 权威指南之脚本化jquery
- Bailian2697 迭代法解方程【二分+迭代】
- 代码签名工具有哪些?好用的数字签名工具推荐
- Drools规则引擎介绍及实践
- 单片机之flash读写
- C# BackgroundWorker用法详解
- 如何突破四维空间,进入五维空间
- IBM SPSS Statistics描述性统计分析使用教学