【漏洞通告】JBoss 客户端信息泄露漏洞安全风险通告
2022年3月15日,嘉诚安全监测到CVE官方发布了JBoss客户端信息泄露漏洞的风险通告,漏洞编号为:CVE-2022-0853。
JBoss 是一个基于J2EE的开放源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的Web容器,一般与Tomcat或Jetty绑定使用。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快进行修复,避免引发漏洞相关的网络安全事件。
JBoss客户端在重复使用UserTransaction时内存泄漏导致信息泄漏漏洞。
漏洞等级
中危
影响版本
Red Hat Descision Manager 7 jboss-client
Red Hat JBoss Enterprise Application Platform 7 jboss-client
Red Hat JBoss Enterprise Application Platform Expansion Pack jboss-client
Red Hat Process Automation 7 jboss-client
Red Hat Single Sign-On 7 jboss-client
通用修复建议:
过滤流量
详情链接请参考
https://github.com/ByteHackr/CVE-2022-0853