推广 热搜: 京东  联通  iphone11  摄像头  企业存储  iPhone  XSKY  京东智能采购  网络安全  自动驾驶 

云安全日报201201:红帽身份验证访问控制系统发现SQL注入漏洞,需要尽快升级

   日期:2020-12-01     来源:TechWeb.com.cn    作者:itcg    浏览:452    我要评论    
导读:Red Hat Single Sign-On是美国红帽(Red Hat)公司的一个身份验证和访问控制系统。该工具负责为系统

Red Hat Single Sign-On是美国红帽(Red Hat)公司的一个身份验证和访问控制系统。该工具负责为系统的身份验证和访问控制功能,支持大多数身份验证协议(Oauth、OpenId Connect)等,并可轻易集成OpenShift和Red Hat中间件等多数产品。

12月1日,RedHat发布了安全更新,修复了Red Hat Single Sign-On中发现的SQL注入漏洞。以下是漏洞详情:

漏洞详情

来源:https://access.redhat.com/errata/RHSA-2020:5254

CVE-2020-25638  CVSS评分:7.4  严重程度:高

SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

在hibernate-core 5.4.23.Final及先前版本中发现了一个漏洞,当在查询的SQL注释中使用文字时,在JPA Criteria API的实现中进行SQL注入可以允许使用未经处理的文字。此漏洞可能使攻击者可以访问未授权的信息或可能进行进一步的攻击。此漏洞的最大威胁是对数据机密性和完整性的威胁。

受影响产品和版本

Red Hat Single Sign-On Text-only Advisories x86_64

Red Hat OpenStack Platform 10 (Newton)

Red Hat OpenStack Platform 13 (Queens)

Red Hat JBoss Fuse 7

Red Hat Integration Camel K

Red Hat Integration Service Registry

Red Hat JBoss Web Server 5

A-MQ Clients 2

Red Hat BPM Suite 6

Red Hat build of Quarkus

Red Hat CodeReady Studio 12

解决方案

RedHat已经发布安全更新,可以从客户门户网站获得针对Red Hat Single Sign-On 7.4的安全更新

查看更多漏洞信息 以及升级请访问官网:

https://access.redhat.com/security/security-updates/#/security-advisories

 
反对 0举报 0 收藏 0 打赏 0评论 0
 
更多>同类资讯
0相关评论

头条阅读
推荐图文
相关资讯
网站首页  |  物流配送  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  RSS订阅  |  违规举报  |  京ICP备14047533号-2
Processed in 0.143 second(s), 11 queries, Memory 1.49 M