热门Java 框架Quarkus中存在严重的RCE漏洞

最新推荐文章于 2024-01-23 07:57:20 发布
最新推荐文章于 2024-01-23 07:57:20 发布
阅读量746 收藏
点赞数
文章标签: java 开发语言
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247514853&idx=1&sn=10d64bdf4f72858d7013dd2cff5fe37e&chksm=ea948b8fdde30299e8387c194b6f4ea7215218284949ef26ba92e2bee711fe42c1b49615e283&scene=126&&sessionid=0
版权

70545b5b667af6bc720ac1b9d2401f4a.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

dc813c9a6c7fe7a5b591eaa777ba9075.gif

Contrast Security 公司的安全研究员 Joseph Beeton 提醒称,热门 Quarkus 框架受严重漏洞(CVE-2022-4116,CVSS评分9.8)影响,可导致远程代码执行后果。

Quarkus 发布于2019年,是一款开源的 Kubernetes 原生Java 框架,专为 GraalVM 和 HotSpot 虚拟机而设计。该漏洞位于 Dev UI Config 编辑器中,可通过路过式下载本地主机攻击利用。

Beeton 表示,“该漏洞并不难利用,恶意人员无需任何权限即可利用。”由于和本地主机绑定的服务可从外部访问,因此攻击者可创建恶意网站,专门攻击使用易受攻击 Quarkus 版本实例的开发人员。他提到,“如运行 Quarkus 的开发人员本地访问了具有恶意JavaScript 的网站,则该JavaScript 可在开发者机器上悄悄执行代码。”

问题在于,JavaScript 代码可在无需预检的情况下向本地主题发起请求。这些“简单请求”不会像所调用的JavaScript 返回数据,但所需响应时间可用于判断该请求是否成功。Beeton 解释称,“通过这些限制条件,攻击者很有可能访问本地主机,并在一定条件下可触发任意代码执行。”

Beeton 已发布PoC 代码,启动目标机器上的计算器应用,不过他提醒称恶意利用该漏洞可造成更广泛的影响,具体取决于开发人员在密钥、服务器和其它资源上的访问权限,如可在本地机器上安装键击记录器捕获生产系统的登录信息或者使用GitHub 令牌修改源代码等。

Beeton 还指出,攻击者可能针对使用 Quarkus 的开发人员发起鱼叉式钓鱼攻击,诱骗他们点击导致可利用该漏洞的 JavaScript的链接。

本周,Quarkus 表示该漏洞的补丁已包含在 2.14.2.Final 和2.13.5.Final 版本中,提醒称恶意攻击者可利用该漏洞获得对开发工具的本地访问权限,督促开发人员尽快修复。

Red Hat 在一份安全公告中指出,其自建 Quarkus 也受影响,但并未透露何时发布补丁。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Java模板框架 Pebble易受命令注入攻击

JavaScript 沙箱 vm2修复远程代码执行漏洞

Java库中充斥着大量反序列化安全弱点

谷歌 OAuth客户端库(Java版)中存在高危漏洞

年度加密漏洞提前锁定:Java JDK 加密实现漏洞可用于伪造凭据

原文链接

https://www.securityweek.com/developers-warned-critical-remote-code-execution-flaw-quarkus-java-framework

题图:Pexels License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

8aa19dc872770d7c5c233881c55ed234.jpeg

039a658a44b476a61efa6f0aff4016d3.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   0fdaf08f2c51ea95304127a224e04d77.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
getshell工具使用教程
04-03
getshell工具使用教程
生命在于学习——网站Getshell的方法
易水哲的博客
09-08 3453
网站Getshell的方法
网站渗透总结之Getshell用法大全
LinkSLA的博客
11-07 2017
后台数据库备份getshell,上传图片马并获取图片马路径,通过数据库备份修改后缀名,如有后缀名无法修改或路径无法修改限制可修改前端代码绕过,当所备份的数据库来源无法修改时,我们可以通过首先将一句话木马写入数据库
oracleshell执行新医保数据转换后台
viviliving的专栏
03-20 234
select LinxRUNCMD('/data05/sql/exec.sh /data05/sql/test.sql') cmd from dual; exec.sh #!/usr/bin/bash source ~/.bash_profile echo $1 date>$1.log /usr/bin/nohup /u01/app/oracle/product/12.1.0/db_1/bin/sqlplus hsa_lzjbsi/[email protected]/OR.
Quarkus在当前实际应用开发遇到的问题与缺点
一瓶绿茶三元钱
04-01 3918
我在最近了解到Quarkus框架与Graalvm之后,在实际项目深入使用了一下,并不是像网上和Spring全家桶对比的那么适合,特别某些方面甚至不如Spring。当然,优点还是有的,就像网上所说的那样,内存占用低,启动快,native -image,但是,他的缺点同样也更加明显: 1.缺乏资料与文档支持 在开发,老规矩从官网GET STARTED,照着手册(https://quarkus.io/guides/)开始,照着搭建,没问题。但是,对于一些针对性问题对文档搜...
一款跨时代的高性能 Java 框架,启动速度快到飞起
m0_64821673的博客
05-21 1619
Quarkus:云原生时代高性能 Java 框架 Quarkus(夸克斯) 是 RedHat 在 2018 年开源的一款专为云原生开发设计的 Java 框架,与 Kubernetes 紧密结合,可以提高构建微服务、无服务和基于云的应用程序的开发效率。 Quarkus 的启动速度非常快(为 GraalVM 量身定制),可以很方便集成 Docker 和 Kubernetes 。 目前,Quarkus 项目的提交已经接近 3w+,从提交看得出来维护的非常频繁。我个人还是非常看好这个项目的,绝对是云原
08-(RCE)命令及代码执行漏洞
qq_56414082的博客
03-28 840
RCE英文全称:remote command/code execute(远程命令/代码执行漏洞)分为远程命令执行ping和远程代码执行eval。
java反序列化rce rmi jrmp jndi 原理
whatday的专栏
12-27 859
RMI攻击主要分3种目标:RMI Client、RMI Server、RMI Registry。使用远程Reference字节码进行攻击。从jdk8u121开始,RMI加入了反序列化白名单机制,JRMP的payload登上舞台,这里的payload指的是ysoserial修改后的JRMPClient。从jdk8u121开始,RMI远程Reference代码默认不信任,RMI远程Reference代码攻击方式开始失效。
发现Quarkus Java框架零日漏洞
kafankeji的博客
12-01 60
Beeton澄清Quarkus团队发布了CVE-2022-4116版本2.14.2.Final和2.13.5.Final长期支持(LTS)的修复程序,要求开发人员UI检查原始标头,以便它只接受包含浏览器设置的特定标头且不可由JavaScript修改的请求。Beeton在周二发布的一份报告写道:“在为最近的DeepSec大会准备一个关于通过本地主机驱动攻击开发者环境的演讲时,我审查了一些流行的Java框架,看看它们是否容易受到攻击。作为他的测试的一部分,比顿创造了一个有效载荷打开系统计算器。
Quarkus技术系列】「云原生架构体系」打造基于Quarkus的云原生微服务框架实践
javalingyu的博客
05-23 848
前提说明: Ok,大家好,今天呢,我们的分享主题是“如何打造一个基于Quarkus的云原生微服务架构”,无论你之前是否了解或者熟悉Quarkus,希望通过今天的技术分享可以让你认识和知道Quarkus。 进入前奏: 好了,我们废话不多说,进入主题,我觉得要是谈到Quarkus,那么我们肯定需要先分析一下,目前Java和云原生服务的关系以及在行业它们的风向、行情。 Java和云原生在行业的行情和风向 image 从Java角度而言: 虽然伴随着时间的流逝和技术的日新月异,Java的地位慢慢
java jdk 8 帮助文档 文 文档 chm 谷歌翻译
04-02
JDK1.8 API 文谷歌翻译版 java帮助文档 JDK API java 帮助文档 谷歌翻译 JDK1.8 API 文 谷歌翻译版 java帮助文档 Java最新帮助文档 本帮助文档是使用谷歌翻译,非人工翻译。准确性不能保证,请与英文版配合使用 ...
JAVA框架项目
12-09
JAVA框架项目,学习java 的好文档,分享给各位
Hands-On-Cloud-Native-Applications-with-Java-and-Quarkus:Packt发布的使用JavaQuarkus的动手云原生应用程序
05-27
带有JavaQuarkus的动手云原生应用程序是完整的端到端开发指南,它将帮助您获得在无服务器环境构建Kubernetes原生应用程序的动手经验。 您将学习如何使用全栈框架来解决更多的分布式应用程序体系结构。 本书涵盖...
微信开发框架(JAVA版)
08-12
这是一个基于java的简易微信开发框架,因本人水平有限,大神勿喷,多多指点。 详情访问我的博客: http://blog.csdn.net/qp23401/article/details/9925161
一个免费的java权限后台管理系统框架
01-23
java权限后台开发框架,采用spring + srpingsecurity + springMVC + Hibernate + freemarker + jquery 等技术实现,页面及源文件打包发布程序。 完整的功能应用,包括:后台权限、人员机构、参数代码、角色权限、...
Java代码审计之RCE(远程命令执行)
liguangyao213的博客
03-02 5842
Java代码审计系列课程(点我哦) 漏洞原理: RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。 出现此类漏洞通常由于应用系统从设计上须要给用户提供指定的远程命令操做的接口。通常会给用户提供一个ping操做的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 而若是设计者在完成该功能时,没有作严格的安全控制,则可能会致使攻击者经过该接口提交“意想不到”的命令,从而让后台进行执行,从而控制整个后台服务器 runti
Java代码审计之远程命令执行漏洞(REC)详解
最新发布
悦分享
01-23 267
在 Web 应用有时候程序员为了考虑灵活性、简洁性,会在代码调用 代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。很多人喜欢把代码执行漏洞称为命令执行漏洞,因为命令执行漏洞可以执行系统命令,而代码执行漏洞也会执行系统命令,这样就容易混淆。
Java代码审计】RCE
大河之犬的博客
12-21 1270
命令注入(RCE)是指在某种开发需求,需要引入对系统本地命令的支持来完成某些特定的功能。当未对可控输入的参数进行严格的过滤时,则有可能发生命令注入。攻击者可以使用命令注入来执行系统终端命令,直接接管服务器的控制权限。
java反序列化rce rmi jrmp jndi 简介
whatday的专栏
12-27 746
目录0 前言1 搞懂概念2 以攻击例子来阐述3 打法总结以往看到很多讲述RMI、JNDI、JRMP的文章,有部分文章都描述的并不是很清晰,看着通篇大论,觉得很详细,但看完之后却搞不懂,也解释不清,反正就是感觉自己还没搞懂,却又好像懂了点,很迷糊...这篇文章,我想要的就是以最简短的内容和例子,去阐述RMI、JNDI、JRMP...,并讲讲为什么用InitialContext lookup一个JNDI的rmi、ldap服务会导致自身被反序列化RCE,为什么Registry bind暴露一个服务对象到RmiRe
quarkus java
11-11
Quarkus是一个全栈Kubernetes原生Java框架,旨在优化Java应用程序以在云原生环境运行。它提供了一种快速,轻量级的方式来构建Java应用程序,并且可以在容器运行,从而提高了应用程序的可移植性和可伸缩性。Quarkus还提供了一组可扩展的基于标准的企业Java库和框架,以及极高的开发人员生产力,有望彻底改变我们在Java开发方式。 Quarkus的主要特点包括: - 快速启动时间和低内存消耗 - 支持JVM和原生编译 - 针对容器优化的Java应用程序 - 支持命令式和反应式编程范例 - 提供了一组可扩展的基于标准的企业Java库和框架 - 高度可扩展和可定制 以下是一个使用Quarkus构建的简单Java RESTful API的示例: ```java import javax.ws.rs.GET; import javax.ws.rs.Path; import javax.ws.rs.Produces; import javax.ws.rs.core.MediaType; @Path("/hello") public class HelloWorldResource { @GET @Produces(MediaType.TEXT_PLAIN) public String hello() { return "Hello, World!"; } } ``` 在这个示例,我们使用JAX-RS注解来定义一个RESTful API。我们可以使用Maven或Gradle等构建工具来构建和运行这个应用程序。Quarkus提供了一个开发模式,可以在开发过程快速重新加载应用程序,以提高开发人员的生产力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值