10критическая
BDU:2023-08649 (CVE-2022-45047)
Уязвимость класса org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider java-библиотеки для поддержки SSH-протоколов Apache SSHD, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-12-12
Описание
Уязвимость класса org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider java-библиотеки для поддержки SSH-протоколов Apache SSHD связана с недостатками механизма десериализации.Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Затрагиваемое ПО и версии
Red Hat JBoss Fuse (7)OpenShift Application RuntimesRed Hat Single Sign-On (7)Red Hat JBoss Fuse (6)Red Hat Descision Manager (7)openSUSE TumbleweedRed Hat OpenStack Platform (13.0 (Queens))Red Hat JBoss Data Grid (7)Red Hat Virtualization Engine (4.4)Red Hat Virtualization (4 for RHEL 8)Red Hat build of QuarkusRed Hat Integration Camel QuarkusRed Hat JBoss Fuse Service Works (6)Red Hat OpenShift Container Platform (3.11)Red Hat OpenShift Container Platform (4.10)Red Hat OpenShift Container Platform (4.9)Red Hat Enterprise Linux (8 based Middleware Containers)Migration Toolkit for Applications (6)Migration Toolkit for RuntimesRed Hat JBoss Enterprise Application Platform (7)OpenShift Developer Tools and Services for OCP (4.11)Red Hat Single Sign-On (7.6 for RHEL 7)Red Hat Single Sign-On (7.6 for RHEL 8)Red Hat Single Sign-On (7.6 for RHEL 9)SonarQube (9.3.3)Red Hat Process Automation Manager (7.13.4)Red Hat JBoss Enterprise Application Platform (6)Red Hat JBoss Enterprise Application Platform (7.4 for RHEL 8)Red Hat JBoss Enterprise Application Platform (7.4 for RHEL 9)Red Hat JBoss Enterprise Application Platform (7.4 on RHEL 7)
Способ устранения
Использование рекомендаций:
Для программных продуктов Apache Software Foundation:
https://www.mail-archive.com/dev%40mina.apache.org/msg39312.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-45047
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-45047.html
Для программных продуктов SonarSource:
Компенсирующие меры:
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе.
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи