Apache Commons HttpClient Amazon FPS 输入验证错误漏洞
证书验证不恰当
HttpClient是Apache Jakarta Common下的子项目,用来提供高效的支持HTTP协议的客户端编程工具包。
Apache Commons HttpClient 3.x版本使用在Amazon Flexible Payments Service (FPS) merchant Java SDK以及其他产品中时存在漏洞,该漏洞源于在主题Common Name(CN)或X.509证书的subjectAltName字段中,程序没有对服务器主机名与域名的匹配进行校验。中间人攻击者利用该漏洞通过任意有效的证书欺骗SSL服务器。
Apache HttpClient 中间人攻击漏洞
输入验证不恰当
Apache HttpClient 是一款使用 Java 编写的访问 HTTP 资源的客户端程序。
Apache HttpClient 受影响版本的 http/conn/ssl/AbstractVerifier.java 文件由于无法正确验证服务器主机名是否匹配主题的 Common Name(CN)或X.509证书的subjectaltname字段中的域名,导致攻击者可通过特制的证书利用该漏洞实施中间人攻击,伪造数据,欺骗SSL服务器。
多款Cisco产品Apache Commons Collections库任意代码执行漏洞
反序列化
Apache Commons Collections(ACC)是美国阿帕奇(Apache)软件基金会的一个Apache Commons项目的Commons Proper(可重复利用Java组件库)中的组件,它可以扩展或增加Java集合框架。
某些Cisco Collaboration and Social Media、Endpoint Clients and Client Software、Network Application, Service, and Acceleration、Network and Content Security Devices、Network Management and Provisioning、Routing and Switching - Enterprise and Service Provider、Unified Computing、Voice and Unified Communications Devices、Video, Streaming, TelePresence, and Transcoding Devices、Wireless和Cisco Hosted Services产品中的序列化对象接口存在漏洞,允许远程攻击者通过恶意构造的序列化Java对象执行任意命令,与Apache Commons Collections (ACC)库相关。
Red Hat JBoss A-MQ等都是美国红帽(Red Hat)公司的产品。Red Hat JBoss A-MQ是美国红帽(Red Hat)公司的一套开源的消息传递平台。BPM Suite(BPMS)是一套集合了JBoss BRMS所有功能的业务流程管理平台。
多款Red Hat产品存在安全漏洞。远程攻击者可借助恶意构造的序列化Java对象利用该漏洞执行任意命令。以下产品和版本受到影响:Red Hat JBoss A-MQ 6.x版本;BPM Suite (BPMS) 6.x版本;BRMS 6.x版本和5.x版本;Data Grid (JDG) 6.x版本;Data Virtualization (JDV) 6.x版本和5.x版本;Enterprise Application Platform 6.x版本,5.x版本和4.3.x版本;Fuse 6.x版本;Fuse Service Works (FSW) 6.x版本;Operations Network (JBoss ON) 3.x版本;Portal 6.x版本;SOA Platform (SOA-P) 5.x版本;Web Server (JWS) 3.x版本;Red Hat OpenShift/xPAAS 3.x版本;Red Hat Subscription Asset Manager 1.3版本。
plexus-utils <3.0.16 命令注入漏洞
OS命令注入
plexus-utils 是处理字符串、文件、命令行、XML 等的程序类的集合。
plexus-utils 受影响版本中的 Commandline 类由于没有正确处理带有双引号的字符串,导致服务容易受到 Shell 命令注入攻击。
Apache Commons Beanutils 存在不可信数据的反序列化漏洞
反序列化
为了修复CVE-2014-0114,在 Apache Commons Beanutils 1.9.2 中,添加了一个特殊的 BeanIntrospector 类,能够用于阻止攻击者通过Java 对象的属性去访问类加载器。
但是该特性并未默认启用,在1.9.4版本中,该特性改为默认启用。
Red Hat JBoss Enterprise Application Platform 代码问题漏洞
反序列化
Red Hat JBoss Enterprise Application Platform(EAP)是美国红帽(Red Hat)公司的一套开源的、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。
Red Hat JBoss Enterprise Application Platform 存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。
jackson-mapper-asl <=1.9.13 XXE 注入漏洞
XXE
jackson-mapper-asl 是一款基于Jackson JSON处理器构建的数据映射软件包。
jackson-mapper-asl 受影响版本的 DOMDeserializer 类默认解析外部实体,导致存在 XML 注入漏洞。
远程攻击者可借助恶意构造的 XML 数据利用该漏洞获取敏感信息。
Apache Commons Net <3.9.0 存在FTP跳转攻击漏洞
未授权敏感信息泄露
Apache Commons Net 是一个提供基本的互联网访问协议的客户端,支持的协议包括:Echo、Finger、FTP、NNTP、NTP、POP3(S)、SMTP(S)、Telnet、Whois 等。
Apache Commons Net 3.9.0之前版本中的 FTP 客户端默认信任来自 PASV (被动 FTP)响应的主机,当 Commons Net 的 FTP 客户端连接到攻击者可控的恶意主机时,攻击者可将 Commons Net 的 FTP 连接重定向到其它主机,进而获取 Commons Net FTP 客户端服务通过 FTP 协议传输的文件信息,补丁版本通过默认禁止来自 PASV 响应的主机(org.apache.commons.net.ftp.ipAddressFromPasvResponse = false)修复此漏洞。
Apache Ant 拒绝服务漏洞
长度参数不一致性处理不恰当
Apache Ant是美国阿帕奇(Apache)基金会的一套用于Java软件开发的自动化工具。该工具主要用于软件的编译、测试和部署等。
在受影响版本中,ant在读取tar包时没有正确地控制内部资源的消耗,攻击者可通过恶意构造的tar包,触发资源耗尽最终导致拒绝服务(DoS)。
Apache Ant 拒绝服务漏洞
长度参数不一致性处理不恰当
Apache Ant是美国阿帕奇(Apache)基金会的一套用于Java软件开发的自动化工具。该工具主要用于软件的编译、测试和部署等。
在受影响版本中,ant在zip包时没有正确地控制内部资源的消耗,攻击者可通过恶意构造的zip包,触发资源耗尽最终导致拒绝服务(DoS)。
plexus-utils <3.0.24 路径遍历漏洞
路径遍历
plexus-utils 是处理字符串、文件、命令行、XML 等的程序类的集合。
plexus-utils 受影响版本的 Expand 类存在目录遍历问题,这会导致用户访问系统敏感文件。
plexus-utils <3.0.24 XXE 漏洞
XPath盲注
plexus-utils 是处理字符串、文件、命令行、XML 等的程序类的集合。
plexus-utils 受影响版本的 XmlWriterUtil 类中 writeComment 方法错误处理了 --> 字符串,导致命令字符串中包含的文本可以解释为 XML 并进行 XML 注入。
commons-codec:commons-codec 存在信息泄露漏洞
未授权敏感信息泄露
commons-codec:commons-codec 是一个包含各种格式(如 Base64 和 Hexadecimal)的简单编码器和解码器的包。
此软件包的受影响版本容易受到信息泄露的影响。当没有可以编码为字符串的字节数组值时,Base32 方法实现不会拒绝它,而是将其解码为任意值,该值可以使用相同的实现再次重新编码。这会导致信息泄露漏洞,攻击者可利用此漏洞获取通过base 32 字符串隧道传输的敏感信息。
io.netty:netty-handler 存在证书验证不恰当漏洞
证书验证不恰当
Netty 是一个开源的、异步事件驱动的网络应用程序框架,用于快速开发可维护的高性能协议服务器和客户端。
io.netty:netty-handler 4.1.x 版本由于默认禁用证书主机名验证从而容易受到不正确的证书验证的影响。攻击者可利用此漏洞通过伪造 OpenSSL 证书进行中间人攻击,从而获取 Netty 服务传输的敏感信息。
部分组件依赖了存在安全漏洞的4.1.x版本netty(如spring boot 2.7.5),而安全版本 5.x 版本的 netty 的 API 与 4.1.x netty 的 API 不兼容,可按照官方描述开启证书主机名验证来缓解该漏洞:https://netty.io/4.1/api/io/netty/handler/ssl/SslContext.html#newHandler-io.netty.buffer.ByteBufAllocator-java.util.concurrent.Executor-。
Apache Commons Collections 远程代码执行漏洞
反序列化
Apache Commons Collections 是对Java 集合的扩展。
该组件从3.0起引入的InvokerTransformer类可被用于构造执行任意代码,作为反序列化等漏洞的跳板(gadget),从而执行任意系统命令。
Netty 存在信息泄露漏洞
将资源暴露给错误范围
Netty 是一个开源的、异步的事件驱动的网络应用程序框架。
io.netty:netty-codec-http 4.1.77.Final 之前版本由于对 CVE-2021-21290 的修复不充分,当启用 Netty 的 multipart decoders 时存在本地信息泄露,本地攻击者可利用此漏洞访问用户使用 Netty 创建的临时文件。
这只会影响在 Java 6 及更低版本上运行的 Netty 程序。此外,此漏洞会影响在类 Unix 系统以及旧版本的 Mac OSX 和 Windows 上运行的代码,因为它们都在所有用户之间共享系统临时目录。用户可通过启动 JVM 时指定`java.io.tmpdir` 或使用 DefaultHttpDataFactory.setBaseDir(...) 将目录设置为只能由当前用户读缓解此漏洞。
Jettison <1.5.2 拒绝服务漏洞
拒绝服务
Jettison 是一款通过 StAX 实现 XML 和 JSON 格式相互转换的 Java 库。
Jettison 受影响版本由于对用户的输入校验不完全,会导致服务因为解析不可信的 XML 或 JSON 数据时出现因内存不足而崩溃的情况。
Jettison <1.5.1 拒绝服务漏洞
越界写入
Jettison 是一款通过 StAX 实现 XML 和 JSON 格式相互转换的 Java 库。
Jettison 受影响版本由于对用户的输入校验不完全,会导致服务因为解析不可信的 XML 或 JSON 数据时出现因内存不足而崩溃的情况。
Netty <4.1.86.Final 存在 CRLF 注入漏洞
解释冲突
Netty 是一个异步事件驱动的网络应用程序框架,用于快速开发可维护的高性能协议服务器和客户端。
Netty 4.1.86.Final之前版本中由于 DefaultHeaders 类中的 setObject 方法没有对 values 参数进行过滤,且使用值的 _iterator_ (迭代器)调用 DefaultHttpHeaders.set 方法时不会执行标头验证从而存在 CRLF 注入漏洞。攻击者可通过向 Netty 服务发送包含恶意的 http 请求进行 CRLF 注入攻击,执行跨站点脚本攻击,获取 Netty 用户 cookie 等敏感信息。
评论