Apache Log4j 信任管理问题漏洞
证书验证不恰当
Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。
Apache Log4j中存在信任管理问题漏洞,该漏洞源于SmtpAppender没有验证主机名称与SMTPS连接的SSL/TLS证书是否匹配。攻击者可通过实施中间人攻击利用该漏洞拦截SMTPS连接,获取日志消息。
Apache Commons Compress 无限循环漏洞
不可达退出条件的循环(无限循环)
Apache Commons Compress是美国阿帕奇(Apache)基金会的一个用于处理压缩文件的库。
Apache Commons Compress存在安全漏洞,该漏洞源于当读取一个特殊制作的7Z归档文件时,构造解码器列表来解压缩条目可能会导致无限循环。
当攻击者对 Log4j 配置具有写访问权限时,Log4j 1.2 中的 JMSAppender 容易受到不受信任数据的反序列化。攻击者可以提供 TopicBindingName 和 TopicConnectionFactoryBindingName 配置,导致 JMSAppender 执行 JNDI 请求,从而以类似于 CVE-2021-44228 的方式执行远程代码。请注意,此问题仅在专门配置为使用 JMSAppender(不是默认设置)时影响 Log4j 1.2。 Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2,因为它解决了以前版本中的许多其他问题。
Apache Log4j是Apache的一款基于Java的开源日志记录工具。
该工具的漏洞版本由于不能防止不受控制的递归而自引用查找。这允许控制线程上下文映射数据的攻击者在解释精心制作的字符串时导致拒绝服务。
Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具。Log4j 1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。
Apache Log4j2 远程代码执行漏洞
反序列化
Apache log4j是java中常用的日志记录组件。
由于log4j2默认支持JNDI在内的Lookup查找机制,当日志内容中包含${foo.bar}样式的内容时,会查找相应的值进行替换。因此当用户请求中的内容通过log4j作为日志内容记录时,攻击者可能通过恶意构造的内容,触发log4j的lookup方法,进而执行恶意代码。
Apache Log4j是Apache基金会的一款基于Java的开源日志记录工具。
在Apache Log4j 2.15.0中解决CVE-2021-44228的修复在某些非默认配置中不完整:当日志配置使用具有上下文查找或线程上下文映射模式时,攻击者可以使用 JNDI 查找模式制作恶意输入数据,从而导致信息泄漏和某些环境中的远程代码执行以及所有环境中的本地代码执行。
CVE-2020-9493 发现了 Apache Chainsaw 中存在的反序列化问题。在 Chainsaw V2.0 之前,Chainsaw 是 Apache Log4j 1.2.x 的一个组件,存在同样的问题。
Eclipse Jetty 安全漏洞
在释放前未清除敏感信息
Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。
Eclipse Jetty 存在安全漏洞,该漏洞源于如果启用GZIP请求主体的通货膨胀和来自不同客户端的请求多路复用到一个连接, 攻击者可利用该漏洞可以发送一个请求接收到的身体完全但不被应用程序,然后后续请求在同一连接会发现身体返回它的body。以下产品及版本受到影响:9.4.0.RC0版本至9.4.34.v20201102版本, 10.0.0.alpha0版本至 10.0.0.beta2版本,11.0.0.alpha0版本 11.0.0.beta2版本。
commons-codec:commons-codec 存在信息暴露漏洞
信息暴露
commons-codec:commons-codec 是一个包含各种格式(如 Base64 和 Hexadecimal)的简单编码器和解码器的包。此软件包的受影响版本容易受到信息泄露的影响。
org.apache.hadoop:hadoop-hdfs 存在XXE漏洞
XXE
org.apache.hadoop:hadoop-hdfs 是一个框架,它允许使用简单的编程模型跨计算机集群对大型数据集进行分布式处理。由于通过 OfflineEditsXmlLoader.java 工具对 XML 文件的不安全解析,此包的受影响版本容易受到 XML 外部实体注入 (XXE) 的攻击。
Apache Log4j SQL注入漏洞
SQL注入
根据设计,Log4j 1.2.x 中的 JDBCAppender 接受 SQL 语句作为配置参数,其中要插入的值是来自 PatternLayout 的转换器。消息转换器 %m 可能总是包含在内。这允许攻击者通过将精心制作的字符串输入到记录的应用程序的输入字段或标题中来操纵 SQL,从而允许执行意外的 SQL 查询。请注意,此问题仅在专门配置为使用 JDBCAppender(不是默认设置)时才会影响 Log4j 1.x。从 2.0-beta8 版本开始,重新引入了 JDBCAppender,适当支持参数化 SQL 查询,并进一步自定义写入日志的列。 Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2,因为它解决了以前版本中的许多其他问题。
netplex json-smart-v 代码问题漏洞
对因果或异常条件的不恰当检查
netplex json-smart是开源的一个JSON Java解析器。
netplex json-smart-v1 through 2015-10-23 and json-smart-v2 through 2.4 存在代码问题漏洞,该漏洞源于如果没有捕获到异常,它可能会导致使用该库的程序崩溃或暴露敏感信息。
Eclipse Jetty 资源管理错误漏洞
对异常条件的处理不恰当
在 Eclipse Jetty 7.2.2 到 9.4.38、10.0.0.alpha0 到 10.0.1 和 11.0.0.alpha0 到 11.0.1 中,当接收到一个大的无效 TLS 帧时,CPU 使用率可以达到 100%。攻击者可利用此缺陷进行拒绝服务攻击。
Eclipse Jetty 代码问题漏洞
不充分的会话过期机制
Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。
Eclipse Jetty versions<= 9.4.40存在安全漏洞,该漏洞源于SessionListener抛出异常。
Netty 环境问题漏洞
HTTP请求的解释不一致性(HTTP请求私运)
Netty是Netty社区的一款非阻塞I/O客户端-服务器框架,它主要用于开发Java网络应用程序,如协议服务器和客户端等。
Netty 4.1.42.Final之前版本中存在安全漏洞。攻击者可利用该漏洞实施HTTP请求走私攻击。
jackson-mapper-asl 代码问题漏洞
XXE
jackson-mapper-asl是一款基于Jackson JSON处理器构建的数据映射软件包。
jackson-mapper-asl 1.9.x版本中存在代码问题漏洞。远程攻击者可借助特制数据利用该漏洞获取敏感信息。
Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。当配置使用带有 JNDI LDAP数据源URI的JDBC Appender时,导致使用者容易受到远程代码执行 (RCE) 攻击,从而攻击者会控制目标 LDAP 服务器。
Eclipse Jetty 输入验证不恰当漏洞
输入验证不恰当
Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。
Eclipse Jetty 存在安全漏洞,该漏洞源于无效的 URI 解析可能会产生无效的 HttpURI.authority。攻击者利用此漏洞会导致Proxy scenario失败。
Eclipse Jetty访问控制错误漏洞
权限、特权和访问控制
Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。
Eclipse Jetty 存在安全漏洞,该漏洞源于系统的临时目录在该系统上的所有用户之间共享。并置用户可以观察在共享临时目录中创建临时子目录的过程,并争着完成临时子目录的创建。攻击者可利用该漏洞拥有对用于解压缩web应用程序的子目录的读写权限,包括它们的web - inf lib jar文件和JSP文件。
评论