1.产品描述:
Apache MINA 是 Apache 组织一个较新的项目,它为开发高性能和高可用性的网络应用程序提供了非常便利的框架。当前发行的 MINA 版本支持基于 Java NIO 技术的 TCP/UDP 应用程序开发、串口通讯程序(只在最新的预览版中提供),MINA 所支持的功能也在进一步的扩展中。
2.影响产品或组件及版本:
Apache MINA SSHD <= 2.9.1
3.受影响资产情况:
该产品为组件,无法通过资产测绘系统搜索相关资产
4.技术细节表述:
Apache MINA SSHD <= 2.9.1 中的类 org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider 使用 Java 反序列化加载序列化的 java.security.PrivateKey。该类是使用 Apache MINA SSHD 的实现者可以选择的几种实现之一,用于加载 SSH 服务器的主机密钥。
通过反序列化攻击者可以传入恶意数据在服务器上执行任意代码,甚至执行任意命令接管服务器。
5.修补措施:
厂商已发布了漏洞修复程序,安全版本:Apache MINA SSHD >= 2.9.2
官方最新版下载链接:https://mina.apache.org/downloads-sshd.HTML
6.漏洞来源:
https://vip.riskivy.com/detail/1592699480598253568
注:该漏洞已有CVE漏洞编号,暂无CNNVD漏洞编号
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论