备注：无CNNVD漏洞编号

漏洞概述

Apache MINA SSHD 是一个为 Java 的应用程序提供 SSH 支持的 java 库。

Apache MINA SSHD 在 2.9.2 之前的版本存在Java反序列化漏洞，原因是 SimpleGeneratorHostKeyProvider 类中使用不安全的 Java 反序列化对 java.security.PrivateKey 进行序列化，远程攻击者可利用此漏洞在目标服务器上加载可控的 PrivateKey 执行恶意代码。用户可选择使用 OpenSSH 代替 SimpleGeneratorHostKeyProvider 生成密钥对，并使用 org.apache.sshd.common.keyprovider.FileKeyPairProvider 类进行加载来缓解此漏洞。

风险等级：严重

受影响版本

org.apache.sshd:sshd-common@(-∞, 2.9.2)

防御措施

升级org.apache.sshd:sshd-common到 2.9.2 或更高版本

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2022-45047

https://github.com/apache/mina-sshd/commit/5a8fe830b2a2308a2b24ac8115a391af477f64f5

https://github.com/apache/mina-sshd/commit/63952e7f7b395f23dffc64bdc6fdaf99f68b8acf