漏洞描述

Apache Karaf 是一个用于部署业务代码或应用程​​序的 modulith 运行时环境。

Apache Karaf 的受影响版本中由于 jaas.modules.src.main.java.porg.apache.karaf.jass.modules.jdbc.JDBCUtils#doCreateDatasourceuse 中的 lookup 方法没有对 jndiName 有效过滤从而存在远程代码执行漏洞。当攻击者对 Karaf JDBC 数据源可控时,攻击者可通过将 JDBCUtils.DATASOURCE 配置为恶意的 LDAP/RMI 服务器(如 jndi:rmi://x.x.x.x:xxxx/Command )远程执行恶意代码。

漏洞名称 Apache Karaf 存在远程代码执行漏洞
漏洞类型 注入
发现时间 2022/12/22
漏洞影响广度 极小
MPS编号 MPS-2022-69328
CVE编号 CVE-2022-40145
CNVD编号 -

影响范围

org.apache.karaf:apache-karaf@[4.4.0, 4.4.2)

org.apache.karaf:apache-karaf@[2.0.1, 4.3.8)

修复方案

升级org.apache.karaf:apache-karaf到 4.4.2 或 4.3.8 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-69328

https://nvd.nist.gov/vuln/detail/CVE-2022-40145

https://karaf.apache.org/security/cve-2022-40145.txt

https://github.com/apache/karaf/pull/1632/commits/3819f4834192f0f38f5ffef1ca8ea165a80eb8f0

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm/?src=csdn

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=csdn

Apache Karaf 存在远程代码执行漏洞相关推荐

  1. 漏洞预警|Apache Karaf 存在远程代码执行漏洞

    棱镜七彩安全预警 近日网上有关于开源项目 Apache Karaf 存在远程代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应. 项目 ...

  2. 如何看待 Apache Log4j 2 远程代码执行漏洞?

    Apache Log4j2 是一款优秀的 Java 日志框架,大量的业务框架都使用了该组件. 2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 ...

  3. rmi远程代码执行漏洞_【漏洞通告】Apache Solr远程代码执行漏洞

    1.综述 Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器.该产品支持层面搜索.垂直搜索.高亮显示搜索结果等. Apache Solr ...

  4. 【安全风险通告】Apache ShardingSphere远程代码执行漏洞安全风险通告

    近日,奇安信云影实验室安全研究员maoge发现Apache ShardingSphere存在远程代码执行漏洞,目前官方已为该漏洞分配CVE编号:CVE-2020-1947.截至今日,该漏洞已修复.鉴于 ...

  5. Apache Log4j2远程代码执行漏洞风险紧急通告,腾讯安全支持全面检测拦截

    腾讯安全注意到,一个Apache Log4j2的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码. 漏洞描述: 腾讯安全注意到,一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开,L ...

  6. JAVA CGI 远程代码执行_Apache Tomcat CVE-2019-0232 远程代码执行漏洞

    2019年4月10日,Apache Tomcat报告了一个漏洞称在windows上运行的Apache Tomcat存在远程代码执行漏洞,漏洞编号为CVE-2019-0232.在Windows平台,远程 ...

  7. Struts2被曝远程代码执行漏洞;叮咚买菜抢菜工具;find替代方案…|叨资讯

    点击关注强哥,还有100多G的面试资料等你来拿 哈喽,大家好,我是强哥. Struts2被曝远程代码执行漏洞:Facebook开源文本编辑器库Lexical:PyCharm 2022.1 正式发布:一 ...

  8. 9 月 19 日,腾讯云安全中心监测到  Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615

    9 月 19 日,腾讯云安全中心监测到  Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616).远程代码执行漏洞(CVE-2017-12615 ...

  9. Apache Log4j2远程代码执行漏洞攻击,华为云安全支持检测拦截

    近日,华为云安全团队关注到Apache Log4j2 的远程代码执行最新漏洞.Apache Log4j2是一款业界广泛使用的基于Java的日志工具,该组件使用范围广泛,利用门槛低,漏洞危害极大.华为云 ...

最新文章

  1. Cyber​​ RT开发人员工具
  2. 这位年仅27岁的阿联酋人工智能部长,竟计划2117年火星造城,真是有钱帅气又任性!
  3. Altium Designer中如何仅显示顶层的元件和顶层布线
  4. 【转】软件工程师的年终总结2
  5. python基本随机生成函数_Python学习笔记(三):随机生成函数方法
  6. Winform自动更新组件分享
  7. 返回局部变量或临时变量的地址_值传递和地址返回两者在堆区(Heap)应用的三种易错点...
  8. One Order行项目里Item Category是怎么计算出来的
  9. 微信小程序本地存储存储_如何利用本地存储构建快速的应用程序
  10. 小型团队快速开发方法
  11. 芯片人才平均薪资近万元 2020年芯片人才缺口超30万
  12. JavaScript:class类的实现方式及特点
  13. 权威指南之脚本化jquery
  14. Bailian2697 迭代法解方程【二分+迭代】
  15. 代码签名工具有哪些?好用的数字签名工具推荐
  16. Drools规则引擎介绍及实践
  17. 单片机之flash读写
  18. C# BackgroundWorker用法详解
  19. 如何突破四维空间,进入五维空间
  20. IBM SPSS Statistics描述性统计分析使用教学

热门文章

  1. 从微软官网下载VS2015(2016年8月25日)
  2. docfx 做一个和微软一样的文档平台
  3. Windows下载安装Cytoscape3.8.2
  4. 蚂蚁金服黑科技:SOFA DTX分布式事务,保障亿级资金操作一致性
  5. mongoBooster里使用mongo的foreach方法示例
  6. 设计数据密集型应用 第五章:复制
  7. syslog server配置与logrotate的配置与理解
  8. oc addChildViewController
  9. 华为内部存储转sd卡_怎样把华为手机内存的东西传、转到SD卡中呢
  10. 结构体字节对齐详解【含实例】