中间件平台用于构建、部署和托管 Java 应用与服务。近期发布了重要安全更新,修复若干已知漏洞。以下为关键漏洞要点与应对建议:
漏洞详情
以下列出在不同组件中发现的安全缺陷及其风险等级:
- CVE-2021-3690,CVSS 7.5,严重级别:重要。在 Undertow 中发现的漏洞,传入的 WebSocket PONG 消息的缓冲区可能导致内存耗尽,从而引发拒绝服务,影响可用性。
- CVE-2021-28170,CVSS 7.5,重要。在 Jakarta 表达式语言实现 3.0.3 及更早版本中,ELParserTokenManager 的错误可能使无效 EL 表达式被评估为有效。
- CVE-2021-29425,CVSS 6.5,重要。在 Apache Commons IO 2.7 之前,若对 fileNameUtils.normalize 提供不正确的输入字符串(如 “//../foo” 或 “..foo”),可能返回相同结果,导致路径遍历风险,进而影响访问控制。
- CVE-2021-3597,CVSS 5.9,中等。与 OpenStack 平台相关的 Opendaylight 组件在自该版本起已弃用,因此不再接收此类漏洞的更新修复。
- CVE-2021-3644,CVSS 3.3,中等。在所有版本的 wildfly-core 中存在漏洞;若保管库表达式包含多表达式的单一属性,拥有管理界面访问权限的用户可能获取不应访问的表达式信息,影响数据的机密性与完整性。
受影响产品与版本
- 中间件平台 7.4 版本(适用于 Red Hat Enterprise Linux 7 x86_64)
解决方案与升级建议
- 上述漏洞已在相应版本中修复,建议尽快升级至最新的 7.4.1 版本以获得安全修复。
查看更多漏洞信息以及升级说明,请参阅官方安全公告。 [[[IMG_1]]][[[IMG_2]]]
