Apache Karaf 存在远程代码执行漏洞

最新推荐文章于 2024-08-07 09:53:12 发布
最新推荐文章于 2024-08-07 09:53:12 发布
阅读量1.1k 收藏
点赞数
分类专栏: 漏洞情报订阅 文章标签: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/128417619
版权

漏洞描述

Apache Karaf 是一个用于部署业务代码或应用程​​序的 modulith 运行时环境。

Apache Karaf 的受影响版本中由于 jaas.modules.src.main.java.porg.apache.karaf.jass.modules.jdbc.JDBCUtils#doCreateDatasourceuse 中的 lookup 方法没有对 jndiName 有效过滤从而存在远程代码执行漏洞。当攻击者对 Karaf JDBC 数据源可控时,攻击者可通过将 JDBCUtils.DATASOURCE 配置为恶意的 LDAP/RMI 服务器(如 jndi:rmi://x.x.x.x:xxxx/Command )远程执行恶意代码。

漏洞名称Apache Karaf 存在远程代码执行漏洞
漏洞类型注入
发现时间2022/12/22
漏洞影响广度极小
MPS编号MPS-2022-69328
CVE编号CVE-2022-40145
CNVD编号-

影响范围

org.apache.karaf:apache-karaf@[4.4.0, 4.4.2)

org.apache.karaf:apache-karaf@[2.0.1, 4.3.8)

修复方案

升级org.apache.karaf:apache-karaf到 4.4.2 或 4.3.8 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-69328

https://nvd.nist.gov/vuln/detail/CVE-2022-40145

https://karaf.apache.org/security/cve-2022-40145.txt

https://github.com/apache/karaf/pull/1632/commits/3819f4834192f0f38f5ffef1ca8ea165a80eb8f0

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm/?src=csdn

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=csdn

在这里插入图片描述

开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【高危】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194)
xsharkrasp的博客
06-09 1551
Apache Kafka是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。Kafka Connect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。攻击者可以利用基于SASLJAAS 配置和SASL 协议的任意Kafka客户端,对Kafka Connect worker 创建或修改连接器时,通过构造特殊的配置,进行JNDI 注入来实现远程代码执行
漏洞预警|Apache Karaf 存在远程代码执行漏洞
LJQClqjc的博客
12-23 626
棱镜七彩漏洞预警
Apache Karaf WebConsole 使用指南
最新发布
gitblog_00559的博客
08-07 665
Apache Karaf WebConsole 使用指南 karaf-webconsoleMirror of Apache Karaf WebConsole项目地址:https://gitcode.com/gh_mirrors/ka/karaf-webconsole 项目介绍 Apache Karaf WebConsole 是 Apache Karaf 提供的一个可选的Web控制台插件。该插件带...
修复 Apache Kafka 中的远程代码执行漏洞CVE-2023-25194
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
11-30 1052
在 Kafka Connect 中发现可能的 RCE 和拒绝服务问题。更新 阿帕奇软件基金会 (ASF) 已解决了一个漏洞,该漏洞可被利用来使用 Kafka Connect 发起远程代码执行 (RCE) 攻击。该关键漏洞于 2 月 8 日公布,被追踪为 CVE-2023-25194。Apache Kafka Connect 是 Apache Kafka 的一个免费开源组件,是系统、数据库和键值存储之间数据集成的中心枢纽。
learning-apache-karaf:学习Apache Karaf,书籍源代码-apache source code
03-25
10. **源代码分析**:通过阅读"学习Apache Karaf"的源代码,可以深入理解Karaf的工作原理,以及如何设计和实现一个基于OSGi的用。 这个压缩包中的"learning-apache-karaf-master"可能是这本书的源码仓库,你可以...
apache karaf 中文文档
07-11
Apache Karaf是一款轻量级的OSGi容器,它是Apache ServiceMix和Apache Geronimo的基础设施核心。Karaf提供了一个可扩展的、多用途的平台,用于运行和管理Java服务和用。由于其轻量级和易用性,Karaf非常适合用于...
apache karaf 2.3.4(Windows版本
11-08
在Windows环境下,Apache Karaf 2.3.4通常以.zip格式提供,用户只需将其解压到任意目录,然后通过命令行(如cmd或PowerShell)进入bin目录,执行start.bat脚本来启动Karaf。此外,Karaf提供了基于图形界面的管理工具...
[Apache Karaf] Apache Karaf 学习教程 (英文版)
03-16
[Packt Publishing] Apache Karaf 学习教程 (英文版) [Packt Publishing] Learning Apache Karaf (E-Book) ☆ 图书概要:☆ Develop and deploy applications using the OSGi-based runtime container, Apache ...
Learning Apache Karaf
03-17
Develop and deploy applications using the OSGi-based runtime container, Apache Karaf Overview Understand Apache Karaf’s commands and control capabilities Gain familiarity with its provisioning ...
CVE-2018-11788:Apache Karaf XXE漏洞(CVE-2018-11788)
03-18
概括 Apache Karaf是一个现代的多态用程序容器。 它是由OSGi支持的轻量级,功能强大且可用于企业的容器。 Apache Karaf是一个“产品项目”,提供了完整的交钥匙运行时。 运行时是“多方面的”,这意味着您可以部署不同类型的用程序:OSGi或非OSGi,Web用程序,基于服务的等等。 在最近对Apache Karaf的研究中,我发现其XML解析器中存在一些XXE(XML外部实体注入)漏洞。 导致解析器不正确地解析XML文档。 受影响的版本 Apache Karaf <= 4.2.1 Apache Karaf <= 4.1.6 分析 根据,Apache Karaf默认情况下提供了功能部署程序,该功能允许用户通过将文件直接放置在deploy文件夹中来“热部署”功能XML。 将功能XML放置在deploy文件夹中时,功能部署程序将执行以下操作: 将功能XML注册为功
apache-karaf-4.0.2.tar.gz
12-26
apache-karaf-4.0.2.tar.gz 安装包
Goby 漏洞发布|Apache Druid Kafka Connect 远程代码执行漏洞(CVE-2024-25194)_druid kafka漏洞
2301_82243100的博客
04-15 483
它设计用于处理大规模的实时数据,并提供快速的交互式查询和分析。Apache Druid 使用了存在漏洞的 Kafka Connect,攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,通过设置sasl.jaas.config属性为恶意类,进而可导致JNDI注入漏洞,可通过该漏洞服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
CVE-2023-25194漏洞 Apache Kafka Connect JNDI注入漏洞
Fiverya的博客
02-10 3776
CVE-2023-25194漏洞
Red Hat JBoss多平台Karaf远程代码执行漏洞 CVE-2016-8648
weixin_34375251的博客
09-01 225
2016年11月25日(当地时间),bugzilla.redhat.com对编号为CVE-2016-8648的漏洞信息进行了更新。该漏洞存在于红帽Red Hat JBoss Fuse和Red Hat JBoss A-MQ所使用的Karaf包中,漏洞发生于通过JMX操作向MBeans传递的对象被反序列化的过程中。一个远程攻击者可在运行JAVA虚拟机且在MB...
Apache Kafka Connect JNDI注入漏洞复现(CVE-2023-25194)
0xSec
03-18 6341
Apache Kafka Connect中存在JNDI注入漏洞,当攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,通过设置sasl.jaas.config属性为com.sun.security.auth.module.JndiLoginModule,进而可导致JNDI注入,造成RCE需低版本JDK或目标Kafka Connect系统中存在利用链。
Apache Karaf入门指南
"LearningApacheKaraf——一本深入介绍Apache Karaf的书籍,由Johan Edstrom、Jamie Goodyear和Heath Kesler合著,旨在帮助读者理解和掌握基于OSGi的运行时容器Apache Karaf,提供了比官方文档更系统化的学习资料。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值