0x00 漏洞概述
CVE ID | CVE-2022-45047 | 發現時間 | 2022-11-16 |
類 型 | 反序列化 | 等 級 | 高危 |
遠端利用 | 是 | 影響範圍 | |
攻擊複雜度 | 低 | 使用者互動 | 無 |
PoC/EXP | 在野利用 |
0x01 漏洞詳情
Apache MINA是一個能夠幫助使用者開發高性能和高可擴展性網路應用程序的框架,Apache MINA SSHD是支持客戶端和伺服器端的SSH 協議的綜合Java庫。
11月15日,Apache發佈安全公告,修復了Apache MINA SSHD中的一個Java 反序列化漏洞(CVE-2022-45047)。
Apache MINA SSHD 2.9.1及之前版本中,類org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider使用不安全的Java反序列化來載入序列化的java.security.PrivateKey,當資料不可信時,可能導致程式碼執行。
影響範圍
Apache MINA SSHD版本 <= 2.9.1
0x02 安全建議
目前該漏洞已經修復,受影響使用者可以升級到Apache MINA SSHD 版本2.9.2。
下載連結:
https://github.com/apache/mina-sshd
0x03 參考連結
https://www.mail-archive.com/announce@apache.org/msg07739.html
https://nvd.nist.gov/vuln/detail/CVE-2022-45047
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-11-16 | 首次發佈 |
