一、漏洞详情
Apache MINA是一个能够帮助用户开发高性能和高可扩展性网络应用程序的框架,Apache MINA SSHD是支持客户端和服务器端的SSH协议的综合Java库。
Apache发布安全公告,修复了Apache MINA SSHD中的一个Java 反序列化漏洞(CVE-2022-45047)。Apache MINA SSHD 2.9.1及之前版本中,类org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider使用不安全的Java反序列化来加载序列化的java.security.PrivateKey,当数据不可信时,可能导致代码执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Apache MINA SSHD版本 <= 2.9.1
三、修复建议
目前该漏洞已经修复,受影响用户可以升级到Apache MINA SSHD 版本2.9.2。
下载链接:https://github.com/apache/mina-sshd