vlambda博客
学习文章列表

【漏洞通告】JBoss 客户端信息泄露漏洞安全风险通告


漏洞背景


2022年3月15日,嘉诚安全监测到CVE官方发布了JBoss客户端信息泄露漏洞的风险通告,漏洞编号为:CVE-2022-0853。


JBoss 是一个基于J2EE的开放源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的Web容器,一般与Tomcat或Jetty绑定使用。


鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快进行修复,避免引发漏洞相关的网络安全事件。

漏洞详情


JBoss客户端在重复使用UserTransaction时内存泄漏导致信息泄漏漏洞。

危害影响



漏洞等级

中危


影响版本

  • Red Hat Descision Manager 7 jboss-client

  • Red Hat JBoss Enterprise Application Platform 7 jboss-client

  • Red Hat JBoss Enterprise Application Platform Expansion Pack jboss-client

  • Red Hat Process Automation 7 jboss-client

  • Red Hat Single Sign-On 7 jboss-client


修复建议


通用修复建议:

过滤流量


详情链接请参考

https://github.com/ByteHackr/CVE-2022-0853