红帽JBoss企业应用平台是基于红帽公司J2EE的开源中间件平台该平台主要用于构建,部署和托管Java应用程序和服务日前,RedHat发布安全更新,修复了Red Hat Jboss EAP中间件平台中发现的一些重要漏洞
漏洞详细信息
1.CVE—2021—42392 CVSS评分:9.8严重程度:严重。
在h2中发现了一个缺陷h2数据库的org . H2 . util . JDBC utils . getconnection方法以驱动程序的类名和数据库的URL作为参数此漏洞允许攻击者使用此URL发送另一台服务器的代码,从而导致远程代码执行该问题可通过各种攻击媒介利用,最明显的是通过H2控制台,这将导致未经验证的远程代码执行
2.CVE—2022—23221 CVSS评分:9.8严重程度:严重
在H2控制台中发现了一个缺陷该漏洞使得远程攻击者能够通过JDBC URL执行任意代码,并连接允许使用脚本远程执行代码的子字符串
3.CVE—2021—37136 CVSS得分:7.5严重程度:重要
Bzip2解压缩解码器功能不允许设置解压缩输出数据的大小限制Bzip2Decoder的所有用户都将受到影响恶意输入可以触发OOME和DoS攻击
4.CVE—2021—37137 CVSS得分:7.5严重程度:重要
快速帧解码器功能不限制可能导致过度使用存储器的块长度此外,它可以缓冲保留的可跳过块,直到接收到整个块,这也可能导致过多的内存使用通过提供被解压缩到非常大的恶意输入或发送巨大的可跳过块,可以触发此漏洞
5.CVE—2022—24785 CVSS得分:7.5严重程度:重要
js是一个JavaScript日期库,用于解析,验证,操作和格式化日期遍历漏洞会影响Moment . js 1 . 0 . 1和2.29.1版本之间的npm用户,尤其是用户提供的区域设置字符串直接用于切换Moment区域设置时此问题已在2.29.2中修复,补丁可应用于所有受影响的版本
受影响的产品和版本
JBoss企业应用程序平台纯文本咨询x86_64
解决办法
红帽JBoss企业应用平台7.4.5版本安全更新已正式发布需要登录红帽官网下载更新在应用本更新之前,请备份红帽JBoss企业应用平台安装部署的现有应用
请参阅Red Hat JBoss Enterprise Application Platform 7 . 4 . 5的发行说明,了解此版本中包含的最重要的错误修复和增强功能。
