网络安全

Network Security

当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

关于Apache MINA SSHD反序列化漏洞(CVE-2022-45047)的安全预警

日期:2022-11-29阅读:

一、基本情况

Apache MINA是一个能够帮助用户开发高性能和高可扩展性网络应用程序的框架,Apache MINA SSHD是支持客户端和服务器端的SSH 协议的综合Java 库。
二、漏洞描述

11月15日,Apache发布安全公告,修复了Apache MINA SSHD中的一个Java 反序列化漏洞(CVE-2022-45047)。

Apache MINA SSHD 2.9.1及之前版本中,类org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider使用不安全的Java反序列化来加载序列化的java.security.PrivateKey,当数据不可信时,可能导致代码执行。

三、影响范围

Apache MINA SSHD版本 <= 2.9.1

四、修复建议

目前该漏洞已经修复,受影响用户可以升级到Apache MINA SSHD 版本2.9.2。

下载链接:

https://github.com/apache/mina-sshd

五、参考链接

https://www.mail-archive.com/announce@apache.org/msg07739.html

https://nvd.nist.gov/vuln/detail/CVE-2022-45047



我是盾盾