推广 热搜: 京东  联通  iphone11  摄像头  企业存储  iPhone  XSKY  京东智能采购  网络安全  自动驾驶 

云安全日报210914:红帽Jboss中间件平台发现重要安全漏洞,需要尽快升级

   日期:2021-09-15     来源:TechWeb.com.cn    作者:itcg    浏览:521    我要评论    
导读:Red Hat JBoss Enterprise Application Platform(EAP)是红帽(Red Hat)公司的一套开源的、基于J2EE的中间件平台。该平台主要用于�

Red Hat JBoss Enterprise Application Platform(EAP)是红帽(Red Hat)公司的一套开源的、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。9月13日,RedHat发布了安全更新,修复了红帽Jboss EAP中间件平台中发现的一些重要漏洞。以下是漏洞详情:

漏洞详情

来源:https://access.redhat.com/errata/RHSA-2021:3516

1.CVE-2021-3690 CVSS评分:7.5 严重程度:重要

在Undertow中发现了一个漏洞。传入的WebSocket PONG消息上的缓冲区泄漏可能会导致内存耗尽。此漏洞允许攻击者造成拒绝服务。此漏洞的最大威胁是可用性。

2.CVE-2021-28170 CVSS评分:7.5 严重程度:重要

在Jakarta表达式语言实现 3.0.3 及更早版本中,ELParserTokenManager 中的一个错误使无效的EL表达式能够被评估,就好像它们是有效的一样。

3.CVE-2021-29425 CVSS评分:6.5 严重程度:重要

在 Apache Commons IO 2.7 之前,当使用不正确的输入字符串调用 FileNameUtils.normalize 方法时,如“//../foo”或“..foo”,结果将是相同的值,因此可能如果调用代码将使用结果来构造路径值,则提供对父目录中文件的访问,但不能进一步访问(因此“受限”路径遍历)

4.CVE-2021-3597 CVSS评分:5.9 严重程度:中等

Red Hat OpenStack Platform 的 OpenDaylight将不会针对此漏洞进行更新,因为它自OpenStack Platform 14起已被弃用,并且仅接收针对重要和关键漏洞的安全修复程序。

5.CVE-2021-3644 CVSS评分:3.3 严重程度:中等

在所有版本的 wildfly-core 中都发现了一个漏洞。如果保管库表达式采用包含多个表达式的单个属性的形式,则被授予管理界面访问权限的用户可能会访问他们不应访问的保管库表达式,并可能检索存储在金库。此漏洞的最大威胁是数据机密性和完整性。

受影响产品和版本

JBoss Enterprise Application Platform Text-only Advisories x86_64

解决方案

上述漏洞已在EAP 7.3.x基础中修复,建议及时升级修复

查看更多漏洞信息 以及升级请访问官网:

https://access.redhat.com/security/security-updates/#/security-advisories

 
反对 0举报 0 收藏 0 打赏 0评论 0
 
更多>同类资讯
0相关评论

头条阅读
推荐图文
相关资讯
网站首页  |  物流配送  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  RSS订阅  |  违规举报  |  京ICP备14047533号-2
Processed in 0.151 second(s), 11 queries, Memory 1.49 M