棱镜七彩安全预警
近日网上有关于开源项目Apache Geode (Java8环境)不受信任的反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Apache Geode 是一个数据管理平台,可在广泛分布的云架构中提供对数据密集型应用程序的实时,一致的访问。
项目主页
Apache Geode — Performance is key. Consistency is a must.
代码托管地址
GitHub - apache/geode: Apache Geode
CVE编号
CVE-2022-37021
漏洞情况
Apache Geode 是一个数据管理平台,可在广泛分布的云架构中提供对数据密集型应用程序的实时,一致的访问。
Apache Geode 的漏洞版本中存在不受信任的反序列化漏洞,在 Java 8 上使用 JMX over RMI 时,攻击者可利用该漏洞执行任意代码,甚至接管服务器。
受影响的版本
org.apache.geode:geode-core@(∞, 1.12.6)
org.apache.geode:geode-core@[1.13.0, 1.13.5)
org.apache.geode:geode-core@[1.14.0, 1.14.1)
修复方案
升级org.apache.geode:geode-core到1.15.0或更高版本
链接地址:
https://nvd.nist.gov/vuln/detail/CVE-2022-37021
https://www.openwall.com/lists/oss-security/2022/08/30/3