PT-2022-4609 · Apache+1 · Apache Geode+1
Kirk Lund
·
Publicado
2022-08-31
·
Atualizado
2022-09-07
·
CVE-2022-37021
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apache Geode até 1.12.5, 1.13.4 e 1.14.0
Descrição
O problema está relacionado à desserialização de dados não confiáveis ao usar JMX sobre RMI no Java 8, o que pode permitir que um invasor remoto execute código arbitrário. Para se proteger contra ataques de deserialização envolvendo JMX ou RMI, os usuários devem atualizar para o Apache Geode 1.15 e o Java 11. Se a atualização para o Java 11 não for possível, os usuários devem atualizar para o Apache Geode 1.15 e especificar “--J=-Dgeode.enableGlobalSerialFilter=true” ao iniciar quaisquer Locators ou Servers. O uso de um filtro de serialização global afetará o desempenho.
Recomendações
Para as versões do Apache Geode até 1.12.5, 1.13.4 e 1.14.0, atualize para o Apache Geode 1.15 e o Java 11.
Se não for possível atualizar para o Java 11, atualize para o Apache Geode 1.15 e especifique “--J=-Dgeode.enableGlobalSerialFilter=true” ao iniciar qualquer Locator ou Servidor.
Siga a documentação para obter detalhes sobre como especificar quaisquer classes de usuário que possam ser serializadas/desserializadas com a opção de configuração “serializable-object-filter”.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Geode
Java