Red Hat JBoss Enterprise Application Platform(EAP)是红帽(Red Hat)公司的一套开源的、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。9月23日,RedHat发布了安全更新,修复了红帽Jboss EAP中间件平台中发现的一些重要漏洞。以下是漏洞详情:
漏洞详情
来源:https://access.redhat.com/errata/RHSA-2021:3656
1.CVE-2021-3690 CVSS评分:7.5 严重程度:重要
在Undertow中发现了一个漏洞。传入的WebSocket PONG消息上的缓冲区泄漏可能会导致内存耗尽。此漏洞允许攻击者造成拒绝服务。此漏洞的最大威胁是可用性。
2.CVE-2021-28170 CVSS评分:7.5 严重程度:重要
在Jakarta表达式语言实现 3.0.3 及更早版本中,ELParserTokenManager 中的一个错误使无效的EL表达式能够被评估,就好像它们是有效的一样。
3.CVE-2021-29425 CVSS评分:6.5 严重程度:重要
在 Apache Commons IO 2.7 之前,当使用不正确的输入字符串调用 FileNameUtils.normalize 方法时,如“//../foo”或“..foo”,结果将是相同的值,因此可能如果调用代码将使用结果来构造路径值,则提供对父目录中文件的访问,但不能进一步访问(因此“受限”路径遍历)
4.CVE-2021-3597 CVSS评分:5.9 严重程度:中等
Red Hat OpenStack Platform 的 OpenDaylight将不会针对此漏洞进行更新,因为它自OpenStack Platform 14起已被弃用,并且仅接收针对重要和关键漏洞的安全修复程序。
5.CVE-2021-3644 CVSS评分:3.3 严重程度:中等
在所有版本的 wildfly-core 中都发现了一个漏洞。如果保管库表达式采用包含多个表达式的单个属性的形式,则被授予管理界面访问权限的用户可能会访问他们不应访问的保管库表达式,并可能检索存储在金库。此漏洞的最大威胁是数据机密性和完整性。
受影响产品和版本
JBoss Enterprise Application Platform 7.4 for RHEL 7 x86_64
解决方案
上述漏洞已在JBoss Enterprise Application Platform 7.4.1中修复,建议及时升级修复
查看更多漏洞信息 以及升级请访问官网:
https://access.redhat.com/security/security-updates/#/security-advisories
