身份验证访问控制系统发现SQL注入漏洞,需立即升级
Red Hat Single Sign-On是由美国红帽公司提供的一款身份验证与访问控制系统。该工具负责系统的身份验证和访问控制功能,支持多种身份验证协议,如Oauth与OpenId Connect,并能够轻松集成OpenShift及其他Red Hat中间件产品。
在12月1日,Red Hat公布了一项安全更新,修复了在Red Hat Single Sign-On中发现的SQL注入漏洞。以下是漏洞的详细信息:
漏洞详情
来源:CVE-2020-25638 CVSS评分:7.4 严重程度:高
SQL注入是一种攻击方式,指的是web应用程序未能验证用户输入数据的合法性。攻击者可以在事先定义的查询语句末尾添加额外的SQL语句,从而欺骗数据库服务器执行未经授权的查询,进一步获取敏感数据。
该漏洞存在于Hibernate-core 5.4.23.Final及其之前的版本。当在查询的SQL注释中使用文本时,JPA Criteria API的实现可能允许未经处理的文本进行SQL注入。此漏洞可能导致攻击者访问未授权的信息或进行进一步的攻击,最大程度上威胁数据的机密性和完整性。
受影响的产品和版本
- Red Hat Single Sign-On Text-Only Advisories x86_64
- Red Hat OpenStack platform 10 (Newton)
- Red Hat OpenStack platform 13 (Queens)
- Red Hat JBoss Fuse 7
- Red Hat Integration Camel K
- Red Hat Integration Service Registry
- Red Hat JBoss Web Server 5
- A-MQ clients 2
- Red Hat BPM Suite 6
- Red Hat build of Quarkus
- Red Hat codeReady Studio 12
解决方案
Red Hat已经发布了安全更新,用户可以从客户门户网站获取针对Red Hat Single Sign-On 7.4的安全更新。
欲了解更多漏洞信息及升级详情,请访问官方网站:https://access.redhat.com/security/security-updates/#/security-advisories
