1、产品描述：

Apache MINA 是 Apache 组织一个较新的项目，它为开发高性能和高可用性的网络应用程序提供了非常便利的框架。当前发行的 MINA 版本支持基于 Java NIO 技术的 TCP/UDP 应用程序开发、串口通讯程序（只在最新的预览版中提供），MINA 所支持的功能也在进一步的扩展中。

2、影响产品或组件及版本：

Apache MINA SSHD <= 2.9.1

3、受影响资产情况：暂无发现

4、技术细节表述：

Apache MINA SSHD在2.9.2之前的 SimpleGeneratorHostKeyProvider 类中存在反序列化漏洞，远程攻击者可利用此漏洞加载服务器主机的SSH密钥（java.security.PrivateKey）。用户可选择使用 OpenSSH 代替 SimpleGeneratorHostKeyProvider 生成秘钥，并使用 org.apache.sshd.common.keyprovider.FileKeyPairProvider 类进行加载来缓解此漏洞。

5、修补措施：

升级org.apache.sshd:sshd-common到 2.9.2 或更高版本

6、漏洞来源：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-45047

https://github.com/apache/mina-sshd/commit/5a8fe830b2a2308a2b24ac8115a391af477f64f5

https://github.com/apache/mina-sshd/commit/63952e7f7b395f23dffc64bdc6fdaf99f68b8acf