1. 漏洞概述
2022年11月17日,监测到Apache发布安全公告,修复了Apache MINA SSHD中的一个Java 反序列化漏洞(CVE-2022-45047),漏洞威胁等级:高危。
2. 漏洞详情
Apache MINA是一个能够帮助用户开发高性能和高可扩展性网络应用程序的框架,Apache MINA SSHD是支持客户端和服务器端的SSH 协议的综合Java 库。
Apache MINA SSHD 2.9.1及之前版本中,类org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider使用不安全的Java反序列化来加载序列化的java.security.PrivateKey,当数据不可信时,可能导致代码执行。
3. 影响版本
Apache MINA SSHD版本 <= 2.9.1
4. 处置建议
漏洞排查
相关用户可根据Java jar解压后是否存在org/apache/sshd相关路径结构,判断是否使用了存在漏洞的组件,若存在相关Java程序包,则很可能存在该漏洞。
若程序使用Maven打包,查看项目的pom.xml文件中是否存在下图所示的相关字段,若版本号为小于2.9.2,则存在该漏洞。
修复方案
一、版本升级
目前官方已有可更新版本,安全版本:
Apache MINA SSHD >= 2.9.2
官方最新版下载链接:https://mina.apache.org/downloads-sshd.html
二、缓解措施
用户可选择使用 OpenSSH 代替 SimpleGeneratorHostKeyProvider 生成秘钥,并使用 org.apache.sshd.common.keyprovider.FileKeyPairProvider 类进行加载来缓解此漏洞。
5. 参考链接
https://www.mail-archive.com/announce@apache.org/msg07739.html
https://nvd.nist.gov/vuln/detail/CVE-2022-45047
