Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

7장. 확인된 문제

다음 하위 섹션에서는 버전 7.5의 알려진 문제에 대해 설명합니다.

7.1. CVE 보안 취약점

미들웨어 통합 플랫폼인 Fuse는 다수의 타사 구성 요소와 잠재적으로 통합될 수 있습니다. Fuse의 일부 타사 종속 항목에 보안 취약점이 있을 수 있는 가능성을 항상 제외할 수 있는 것은 아닙니다. 이 섹션에서는 Fuse 7.5의 타사 종속 항목에 영향을 미치는 알려진 보안 취약점에 대해 설명합니다.

ENT Cryostat-12489 CVE-2019-9827 - Fuse Console 독립 실행형 Amazon Web Services
보안 문제로 인해 독립 실행형 Fuse 애플리케이션을 AWS(Amazon Web Services)에 배포해서는 안 됩니다. 이 제한은 지원되는 모든 독립 실행형 환경(부팅 1.x 및 2.x, Karaf 및 Red Hat JBoss Enterprise Application Platform)에 적용됩니다. AWS에 Fuse Console 독립 실행형을 배포하려면 Fuse 7.7 이상으로 업그레이드하고 hawtio.disableProxy 시스템 속성을 true 로 설정하여 Fuse Console의 프록시 서블릿을 비활성화하는 것이 좋습니다.
CVE-2017-12629 bler/Lucene -security bypass to access sensitive data -CVE-2017-12629

Apache Performr는 Apache Lucene 검색 엔진을 사용하는 널리 사용되는 오픈 소스 검색 플랫폼입니다. 애플리케이션이 Apache Lucene과 함께 Apachesriovr를 사용하는 경우(예: Camel achievedr 구성 요소를 사용하는 경우) 이 보안 취약점의 영향을 받을 수 있습니다. 이 취약점에 대한 자세한 내용과 수행할 완화 단계를 보려면 연결된 보안 권고를 참조하십시오.

참고

Fuse 런타임에서는 Apache achievedr 또는 Apache Lucene을 직접 사용하지 않습니다. 보안 위험은 통합 애플리케이션 컨텍스트에서 Apache achievedr 및 Apache Lucene을 함께 사용하는 경우(예: Camel Quarkusr 구성 요소를 사용하는 경우)만 발생합니다.

jackson-databind 보안 취약점과 관련된 여러 CVEhttps://access.redhat.com/security/security-updates/#/cve?q=jackson&p=1&sort=cve_publicDate%20desc&rows=50&documentKind=Cve

JSON 콘텐츠를 역직렬화하여 Java 개체를 인스턴스화하기 위해 Faster XML jackson-databind 라이브러리를 사용하는 애플리케이션은 원격 코드 실행 공격에 취약해질 수 있습니다. 그러나 이 취약점은 자동으로 제공되지 않으며 적절한 완화 조치를 취하는 경우 방지할 수 있습니다.

최소한 공격이 가능하려면 먼저 다음 사전 요구 사항을 충족해야 합니다.

  1. jackson-databind 에서 JSON 콘텐츠를 역직렬화하기 위해 다형성 유형 처리를 활성화했습니다. jackson JSON에서 다형성 유형 처리를 활성화하는 두 가지 다른 방법이 있습니다.

    1. @JsonTypeInfo@JsonSubTypes 주석의 조합 사용
    2. ObjectMapper.enableDefaultTyping() 메서드를 호출합니다. 이 옵션은 전 세계적으로 다형성 타이핑을 효과적으로 가능하게 하므로 특히 위험합니다.

  2. Java classpath에는 현재 jackson-databind 버전에 의해 블랙리스트에 추가되지 않은 하나 이상의 가젯 클래스 가 있습니다. 가젯 클래스는 생성자 또는 setter 메서드(직렬화 중에 호출될 수 있는 메서드)를 실행하는 부작용으로 중요한(심각적으로 악용 가능) 작업을 수행하는 모든 클래스로 정의됩니다. Jackson JSON 라이브러리에서 유지 관리하는 가젯 블랙리스트는 원격 코드 실행 취약점에 대한 마지막 방어선입니다.

    jackson-databind 취약점과 관련된 개별 CVE가 많은 이유를 설명하는 많은 가젯 클래스가 존재합니다. 다양한 종류의 가젯 클래스와 관련된 CVE가 있습니다.

애플리케이션에서 jackson-databind 라이브러리를 사용해야 하는 경우 위험을 완화하기 위해 수행할 수 있는 가장 중요한 방법은 다음과 같습니다. jackson JSON에서 다형성 유형 처리는 방지되며 계정은 ObjectMapper.enableDefaultTyping() 메서드를 호출해서는 안 됩니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.