|
|
棱镜七彩安全预警
近日网上有关于开源项目 Apache Karaf 存在远程代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Karaf是Apache旗下的一个开源项目。Karaf同时也是一个基于OSGi的运行环境,Karaf提供了一个轻量级的OSGi容器,可以用于部署各种组件,应用程序。Karaf提供了很多特性用于帮助开发者和用户更加灵活的部署应用,例如:热部署、动态配置、几种日志处理系统、本地系统集成、可编程扩展控制台、ssh远程访问、内置安装认证机制等等。同时Karaf作为一款成熟而且优秀的OSGi运行环境以及容器已经被诸多Apache项目作为基础容器,例如:Apache Geronimo, ApacheServiceMix,Fuse ESB,由此可见Karaf在性能,功能和稳定性上都是个不错的选择。
项目主页
https://karaf.apache.org/
代码托管地址
https://github.com/apache/karaf/
CVE编号
CVE-2022-40145
漏洞情况
Apache Karaf 是一个用于部署业务代码或应用程序的 modulith 运行时环境。
Apache Karaf 的受影响版本中由于jaas.modules.src.main.java.porg.apache.karaf.jass.modules.jdbc.JDBCUtils#doCreateDatasourceuse 中的 lookup 方法没有对 jndiName 有效过滤从而存在远程代码执行漏洞。当攻击者对 Karaf JDBC 数据源可控时,攻击者可通过将 JDBCUtils.DATASOURCE 配置为恶意的 LDAP/RMI 服务器(如 jndi:rmi://x.x.x.x:xxxx/Command )远程执行恶意代码。
受影响的版本
org.apache.karaf:apache-karaf@[4.4.0, 4.4.2)
org.apache.karaf:apache-karaf@[2.0.1, 4.3.8)
修复方案
升级org.apache.karaf:apache-karaf到 4.4.2 或 4.3.8 或更高版本
链接地址:
https://nvd.nist.gov/vuln/detail/CVE-2022-40145
https://karaf.apache.org/security/cve-2022-40145.txt
https://github.com/apache/karaf/pull/1632/commits/3819f4834192f0f38f5ffef1ca8ea165a80eb8f0 |
|
发 帖
发表于 2023-1-7 18:32:39