JBoss 中间件平台(Enterprise Application Platform,EAP)是一套基于 J2EE 的中间件解决方案,用于构建、部署与托管 Java 应用与服务。近期有多项重要漏洞被披露并已通过安全更新修复,建议相关系统尽快升级以降低风险。以下为漏洞要点与受影响范围。
漏洞详情
来源:https://access.Redhat.com/errata/RHSA-2021:3516
CVE-2021-3690 CVSS 评分:7.5,严重程度:重要
在 Undertow 中发现的漏洞。传入的 WebSocket PONG 消息缓冲区泄漏可能导致内存耗尽,进而触发拒绝服务,影响可用性。
CVE-2021-28170 CVSS 评分:7.5,严重程度:重要
在 Jakarta Expression Language 实现 3.0.3 及更早版本中,ELParserTokenManager 的一个错误会使无效的 EL 表达式被错误评估,表现为等同于有效表达式。
CVE-2021-29425 CVSS 评分:6.5,严重程度:重要
在 Apache Commons IO 2.7 之前版本,当对 fileNameUtils.normalize 方法传入错误的输入字符串(如 “/../foo” 或 “..foo”)时,返回结果可能相同,导致调用方据此构造路径时可能访问父目录中的文件,存在受限路径遍历风险。
CVE-2021-3597 CVSS 评分:5.9,严重程度:中等
Red Hat OpenStack 平台的 OpenDaylight 不会为该漏洞提供更新,因为自 OpenStack 平台 14 版本起已弃用,仅接收重要和关键漏洞的修复。
CVE-2021-3644 CVSS 评分:3.3,严重程度:中等
在所有版本的 wildfly-core 中发现的漏洞。若保管库表达式采用包含多个表达式的单一属性形式,具备管理界面访问权限的用户可能访问不应访问的保管库表达式并检索其中的数据,影响数据机密性与完整性。
受影响的产品与版本
受影响:JBoss Enterprise Application Platform(文本仅 Advisories,x86_64 架构)
解决方案
上述漏洞已在 EAP 7.3.x 基础上修复,建议尽快升级以获取修复版本。
更多信息
查看全部漏洞信息及升级请访问官网安全更新页面:
https://access.Redhat.com/security/security-updates/#/security-advisories
