Red Hat 发布了新版本的JBoss Enterprise Application Platform以应对于Apache JServ Protocol (AJP),Apache Thrift及OpenSSL security provider中的多个漏洞。远端攻击者可向受影响系统发出特制的查询或上载恶意档案从而攻击这些漏洞。
有报告观察漏洞 (CVE-2020-1745) 可让未通过认证的远端攻击者通过特制的查询在受影响系统执行任意程式码。用户应立即为受影响的系统安装修补程式,以免增加受到网络攻击的风险。对于寄存在外判平台的系统,系统拥有者应与网站寄存服务商确认已安装相关的修补程式。
成功利用这些漏洞可以在受影响的系统上导致服务受阻断、远端执行程式码或泄漏资讯。
现已有适用于受影响系统的修补程式及可以透过订阅服务取得。受影响系统的系统管理员应遵从产品供应商的建议,立即采取行动以降低风险。
https://www.hkcert.org/my_url/zh/alert/20032601
https://access.redhat.com/errata/RHSA-2020:0961
https://access.redhat.com/errata/RHSA-2020:0962
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0205
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0210
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14887
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1745