1.产品描述：

    Apache MINA 是 Apache 组织一个较新的项目，它为开发高性能和高可用性的网络应用程序提供了非常便利的框架。当前发行的 MINA 版本支持基于 Java NIO 技术的 TCP/UDP 应用程序开发、串口通讯程序（只在最新的预览版中提供），MINA 所支持的功能也在进一步的扩展中。

2.影响产品或组件及版本：

    Apache MINA SSHD <= 2.9.1

3.受影响资产情况：

该产品为组件，无法通过资产测绘系统搜索相关资产

4.技术细节表述：

    Apache MINA SSHD <= 2.9.1 中的类 org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider 使用 Java 反序列化加载序列化的 java.security.PrivateKey。该类是使用 Apache MINA SSHD 的实现者可以选择的几种实现之一，用于加载 SSH 服务器的主机密钥。

通过反序列化攻击者可以传入恶意数据在服务器上执行任意代码，甚至执行任意命令接管服务器。

5.修补措施：

厂商已发布了漏洞修复程序，安全版本：Apache MINA SSHD >= 2.9.2

官方最新版下载链接：https://mina.apache.org/downloads-sshd.HTML

6.漏洞来源：

https://vip.riskivy.com/detail/1592699480598253568

注：该漏洞已有CVE漏洞编号，暂无CNNVD漏洞编号