1、产品描述:
Apache MINA 是 Apache 组织一个较新的项目,它为开发高性能和高可用性的网络应用程序提供了非常便利的框架。当前发行的 MINA 版本支持基于 Java NIO 技术的 TCP/UDP 应用程序开发、串口通讯程序(只在最新的预览版中提供),MINA 所支持的功能也在进一步的扩展中。
2、影响产品或组件及版本:
Apache MINA SSHD <= 2.9.1
3、受影响资产情况:暂无发现
4、技术细节表述:
Apache MINA SSHD在2.9.2之前的 SimpleGeneratorHostKeyProvider 类中存在反序列化漏洞,远程攻击者可利用此漏洞加载服务器主机的SSH密钥(java.security.PrivateKey)。用户可选择使用 OpenSSH 代替 SimpleGeneratorHostKeyProvider 生成秘钥,并使用 org.apache.sshd.common.keyprovider.FileKeyPairProvider 类进行加载来缓解此漏洞。
5、修补措施:
升级org.apache.sshd:sshd-common到 2.9.2 或更高版本
6、漏洞来源:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-45047
https://github.com/apache/mina-sshd/commit/5a8fe830b2a2308a2b24ac8115a391af477f64f5
https://github.com/apache/mina-sshd/commit/63952e7f7b395f23dffc64bdc6fdaf99f68b8acf
评论