JBoss Enterprise Application Platform(EAP)是一套基于 Java 的中间件解决方案,旨在帮助构建、部署与托管 Java 应用与服务。2022年2月4日,发布了安全更新以修复该中间件平台中发现的若干重要漏洞。以下为漏洞要点梳理。
漏洞要点
- CVE-2022-23305,CVSS 8.1,严重级别:高
在 1.x 版 Java 日志组件中,Log4j 的 JDBCAppender 可能会受到来自未经信任数据的 SQL 注入影响。如果应用配置为使用带插值令牌的 JDBCAppender,远程攻击者可能在数据库中执行任意 SQL。
- CVE-2022-23307,CVSS 8.1,严重级别:高
在 log4j 1.x 的某些组件中,日志条目的内容可能被反序列化,进而可能实现代码执行。攻击者可通过向服务器发送经过序列化处理的恶意请求来触发反序列化漏洞。
- CVE-2021-4104,CVSS 7.5,严重级别:高
Log4j 1.x 中的 JMSAppender 存在未受信任数据反序列化的风险。如果应用配置为使用 JMSAppender 且攻击者能访问 JNDI LDAP 端点,远程攻击者可能在服务器上执行任意代码。
- CVE-2022-23302,CVSS 7.5,严重级别:高
Log4j 1.x 的 JMSSink 可能因不受信任数据的反序列化而受到影响。如果 JMSSink 配置为执行 JNDI 请求,攻击者可在服务器上执行任意代码。
受影响的产品与版本
- Jboss Enterprise Application Platform 6.4 for RHEL 7 x86_64
- Jboss Enterprise Application Platform 6.4 for RHEL 7 PPC64
- Jboss Enterprise Application Platform 6.4 for RHEL 6 x86_64
- Jboss Enterprise Application Platform 6.4 for RHEL 6 PPC64
- Jboss Enterprise Application Platform 6.4 for RHEL 6 i386
- Jboss Enterprise Application Platform 6 for RHEL 7 x86_64
- Jboss Enterprise Application Platform 6 for RHEL 7 PPC64
- Jboss Enterprise Application Platform 6 for RHEL 6 x86_64
- Jboss Enterprise Application Platform 6 for RHEL 6 PPC64
- Jboss Enterprise Application Platform 6 for RHEL 6 i386
解决方案
针对以上版本,已发布适用于 Red Hat Enterprise Linux 5、6 与 7 的更新补丁,请及时应用以修复漏洞。
相关信息与升级指南,请查阅官方公告并按照更新说明完成补丁部署。
更多漏洞信息及升级指南,请访问官方入口获取最新指引:查看更多漏洞信息 与 升级指南。
如需具体的操作步骤、影像变更以及回滚策略,请参考官方更新文档及安全公告。
