备注:无CNNVD漏洞编号
漏洞概述
Apache MINA SSHD 是一个为 Java 的应用程序提供 SSH 支持的 java 库。
Apache MINA SSHD 在 2.9.2 之前的版本存在Java反序列化漏洞,原因是 SimpleGeneratorHostKeyProvider 类中使用不安全的 Java 反序列化对 java.security.PrivateKey 进行序列化,远程攻击者可利用此漏洞在目标服务器上加载可控的 PrivateKey 执行恶意代码。用户可选择使用 OpenSSH 代替 SimpleGeneratorHostKeyProvider 生成密钥对,并使用 org.apache.sshd.common.keyprovider.FileKeyPairProvider 类进行加载来缓解此漏洞。
风险等级:严重
受影响版本
org.apache.sshd:sshd-common@(-∞, 2.9.2)
防御措施
升级org.apache.sshd:sshd-common到 2.9.2 或更高版本
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2022-45047
https://github.com/apache/mina-sshd/commit/5a8fe830b2a2308a2b24ac8115a391af477f64f5
https://github.com/apache/mina-sshd/commit/63952e7f7b395f23dffc64bdc6fdaf99f68b8acf
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论