云安全日报210914：红帽Jboss中间件平台发现重要安

Red Hat JBoss Enterprise Application Platform（EAP）是红帽（Red Hat）公司的一套开源的、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。9月13日,RedHat发布了安全更新，修复了红帽Jboss EAP中间件平台中发现的一些重要漏洞。以下是漏洞详情

漏洞详情

来源https://aess.redhat./errata/RHSA-2021:3516

1.CVE-2021-3690 CVSS评分7.5 严重程度重要

在Underto中发现了一个漏洞。传入的WebSocket PONG消息上的缓冲区泄漏可能会导致内存耗尽。此漏洞允许攻击者造成拒绝服务。此漏洞的最大威胁是可用性。

2.CVE-2021-28170 CVSS评分7.5 严重程度重要

在Jakarta表达式语言实现 3.0.3 及更早版本中，ELParserTokenManager 中的一个错误使无效的EL表达式能够被评估，就好像它们是有效的一样。

3.CVE-2021-29425 CVSS评分6.5 严重程度重要

在 Apache Commons IO 2.7 之前，当使用不正确的输入字符串调用 FileNameUtils.normalize 方法时，如“//../foo”或“\\..\foo”，结果将是相同的值，可能如果调用代码将使用结果来构造路径值，则提供对父目录中文件的访问，但不能进一步访问（“受限”路径遍历）

4.CVE-2021-3597 CVSS评分5.9 严重程度中等

Red Hat OpenStack Platform 的 OpenDaylight将不会针对此漏洞进行更新，因为它自OpenStack Platform 14起已被弃用，并且仅接收针对重要和关键漏洞的安全修复程序。

5.CVE-2021-3644 CVSS评分3.3 严重程度中等

在所有版本的 ildfly-core 中都发现了一个漏洞。如果保管库表达式采用包含多个表达式的单个属性的形式，则被授予管理界面访问权限的用户可能会访问他们不应访问的保管库表达式，并可能检索存储在金库。此漏洞的最大威胁是数据机密性和完整性。

受影响产品和版本

JBoss Enterprise Application Platform Text-Only Advisories x86_64

解决方案

上述漏洞已在EAP 7.3.x基础中修复，建议及时升级修复

查看更多漏洞信息 以及升级请访问官网

https://aess.redhat./security/security-updates/#/security-advisories