PT-2022-4604 · Apache · Apache Geode
Kirk Lund
·
Publicado
2022-08-31
·
Atualizado
2022-09-06
·
CVE-2022-37022
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Apache Geode até 1.12.2 e 1.13.2
Descrição
O problema está relacionado à desserialização de dados não confiáveis ao usar JMX sobre RMI no Java 11, o que pode permitir que um invasor remoto execute código arbitrário. Essa falha afeta o serviço JMX da plataforma de gerenciamento de dados Apache Geode. Para se proteger contra ataques de deserialização envolvendo JMX ou RMI, os usuários devem atualizar para o Apache Geode 1.15, que protege automaticamente o JMX sobre RMI contra tais ataques quando usado com o Java 11.
Recomendações
Para as versões do Apache Geode até 1.12.2 e 1.13.2, atualize para o Apache Geode 1.15 para se proteger contra ataques de deserialização envolvendo JMX ou RMI. Essa atualização não deve ter impacto no desempenho, pois afeta apenas o JMX/RMI, que é usado pelo Gfsh para se comunicar com o JMX Manager hospedado em um Locator.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Geode