【漏洞通告】Apache MINA SSHD反序列化漏洞(CVE-2022-45047)

0x00 漏洞概述

CVE ID

CVE-2022-45047

發現時間

2022-11-16

類 型

反序列化

等 級

高危

遠端利用

影響範圍

攻擊複雜度

使用者互動

PoC/EXP

在野利用

0x01 漏洞詳情

Apache MINA是一個能夠幫助使用者開發高性能和高可擴展性網路應用程序的框架,Apache MINA SSHD是支持客戶端和伺服器端的SSH 協議的綜合Java庫。

11月15日,Apache發佈安全公告,修復了Apache MINA SSHD中的一個Java 反序列化漏洞(CVE-2022-45047)。

Apache MINA SSHD 2.9.1及之前版本中,類org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider使用不安全的Java反序列化來載入序列化的java.security.PrivateKey,當資料不可信時,可能導致程式碼執行。

影響範圍

Apache MINA SSHD版本 <= 2.9.1

0x02 安全建議

目前該漏洞已經修復,受影響使用者可以升級到Apache MINA SSHD 版本2.9.2。

下載連結:

https://github.com/apache/mina-sshd

0x03 參考連結

https://www.mail-archive.com/announce@apache.org/msg07739.html

https://nvd.nist.gov/vuln/detail/CVE-2022-45047

0x04 版本資訊

版本

日期

修改內容

V1.0

2022-11-16

首次發佈

相關文章