红帽JBoss企业应用平台是红帽公司基于J2EE的开源中间件平台该平台主要用于构建,部署和托管Java应用和服务日前,红帽发布安全更新,修复红帽Jboss EAP中间件平台发现的一些重要漏洞
漏洞详细信息
1.CVE—2021—3690 CVSS评分:7.5严重程度:重要。
在暗流中发现一个漏洞传入的WebSocket PONG消息上的缓冲区泄漏可能会导致内存耗尽此漏洞允许攻击者造成拒绝服务该漏洞的最大威胁是可用性
2.CVE—2021—28170 CVSS评分:7.5严重程度:重要。
在雅加达表达式语言实现3.0.3和更早版本中,ELParserTokenManager中的一个错误使无效的EL表达式能够被评估为有效。
3.CVE—2021—29425 CVSS评分:6.5严重程度:重要。
在Apache Commons IO 2.7之前,当使用不正确的输入字符串调用FileNameUtils.normalize方法时,//./foord quo,或者\.foo,结果将是相同的值,因此如果调用代码将使用结果来构造路径值,它将提供对父目录中的文件的访问,但是它不能被进一步访问
4.CVE—2021—3597 CVSS评分:5.9严重程度:中度。
红帽OpenStack Platform的OpenDaylight将不会针对此漏洞进行更新,因为它自OpenStack Platform 14以来已被弃用,并且只接收重要和关键漏洞的安全修复。
5.CVE—2021—3644 CVSS评分:3.3严重程度:中度。
在wildfly—core的所有版本中都发现了一个漏洞如果存储库表达式采用包含多个表达式的单个属性的形式,则被授予管理界面访问权限的用户可以访问他们不应该访问的存储库表达式,并可以检索存储在存储库中的表达式该漏洞的最大威胁是数据的机密性和完整性
受影响的产品和版本。
JBoss企业应用平台纯文本咨询x86_64
解决办法
以上漏洞在EAP 7.3.x foundation中已经修复,建议及时升级修复。
有关漏洞和升级的更多信息,请访问官方网站:
郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。
