第 3 章 MTA 6.2.2

CVE-2022-45693: 安全漏洞(Jettison) 

v1.5.2 之前 Jettison 的版本容易受到基于堆栈的缓冲区溢出造成的拒绝服务(DoS)的影响。 通过使用 map 参数发送特殊精心设计的请求，远程攻击者可能会利用此漏洞来造成 DoS 攻击。这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2023-29406: HTTP/1 客户端不会完全验证 Host 标头的内容

在 1.19.11 之前的 Golang 版本会受到 HTTP 标头注入的影响，导致 HTTP/1 客户端对 Host 标头的内容验证不正确。 一个恶意设计的主机标头可以注入额外的标头或整个请求。在 1.19.11 Golang 版本中，HTTP/1 客户端现在拒绝发送包含无效 Request.Host 或 Request.URL.Host 值的请求。 这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2023-29409: 在证书链中扩展大型 RSA 密钥可能会导致客户端/服务器加快验证签名的 CPU 时间

证书链中非常大的 RSA 密钥可能会导致客户端/服务器加快验证签名的 CPU 时间。 Golang Go 软件包中发现了一个拒绝服务(DoS)漏洞，是由一个不受控制的资源消耗漏洞造成的。通过禁止使用具有大型 RSA 密钥的特殊精心设计的证书，远程攻击者可以利用客户端/服务器加快验证签名的大量 CPU 时间，从而导致拒绝服务状况。 这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2022-1962：在 go/parser中的 Parse 函数中不受控制的递归

在 Golang 版本中，在 1.17.12 和 1.18.4 之前，在标准库 go/parser go/parser 中发现了一个缺陷，不控制的递归可能会导致攻击者通过深度嵌套类型或声明耗尽堆栈导致 panic。这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2023-26159：通过 url.parse （） 函数处理 URL

在 1.15.4 之前的 follow-redirects 软件包版本中，有 Improper Input Validation 的漏洞。此漏洞是由 url.parse （） 函数处理 URL 不正确的造成的。当新的 URL （） 抛出错误时，可以对其进行操作来错误解译主机名。攻击者可能会利用这种弱点来将流量重定向到恶意网站，并可能导致信息泄露、辨别攻击或其他安全漏洞。 这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2022-46751: Improper Restriction of XML External Entity Reference, XML Injection vulnerability in Apache Ivy

在 2.5.2 之前的 Apache Ivy 版本中，解析 XML 文件，无论是配置、Ivy 文件或 Apache Maven POM，它允许下载外部文档类型定义并扩展包含的任何实体引用。此过程可用于扩展数据，仅运行 Ivy 的机器可以访问运行 Ivy 的机器，或者以不同方式干扰执行 Ivy。 这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2023-2976: Java 的默认临时目录，用于在 FileBackedOutputStream中创建文件

Google Guava 版本 1.0 到 31.1 版本允许本地验证的攻击者获取敏感信息。这是因为在 FileBackedOutputStream 中使用 Java 的默认临时目录来创建文件所造成的。使用 Java 的默认临时目录在 Unix 系统上的 FileBackedOutputStream 中创建文件，可以允许机器上对默认 Java 临时目录具有访问权限的其他用户和应用程序访问该类创建的文件。 这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2023-35116： 2.15.2 之前的 jackson-databind 版本可能会允许攻击者拒绝服务或其他未指定影响（计算）

2.15.2 之前的 jackson-databind 版本可能会导致攻击者拒绝服务或其他未指定影响。供应商认为这不是有效漏洞，因为构建了一个环形数据结构的步骤，并尝试从外部攻击者实现序列化。这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2023-1436：在构造 JSONArray 时，Jettison 中会触发一个无限递归

当从集合构建 JSONArray 时，在其中一个元素中包含自助引用时，Jettison 中会触发无限递归。这会导致返回 StackOverflowError 异常。  这个问题已在 MTA 版本 6.2.2 中解决。