Red Hat 發布了新版本的JBoss Enterprise Application Platform以應對於Apache JServ Protocol (AJP),Apache Thrift及OpenSSL security provider中的多個漏洞。遠端攻擊者可向受影響系統發出特製的查詢或上載惡意檔案從而攻擊這些漏洞。
有報告觀察漏洞 (CVE-2020-1745) 可讓未通過認證的遠端攻擊者通過特製的查詢在受影響系統執行任意程式碼。用戶應立即為受影響的系統安裝修補程式,以免增加受到網絡攻擊的風險。對於寄存在外判平台的系統,系統擁有者應與網站寄存服務商確認已安裝相關的修補程式。
成功利用這些漏洞可以在受影響的系統上導致服務受阻斷、遠端執行程式碼或泄漏資訊。
現已有適用於受影響系統的修補程式及可以透過訂閱服務取得。受影響系統的系統管理員應遵從產品供應商的建議,立即採取行動以降低風險。
https://www.hkcert.org/my_url/zh/alert/20032601
https://access.redhat.com/errata/RHSA-2020:0961
https://access.redhat.com/errata/RHSA-2020:0962
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0205
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0210
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14887
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1745