Red Hat 红帽身份验证访问控制系统发现 SQL 注入漏

来源:[db:来源]作者:新闻库来源发布时间:2020-12-02
Red Hat Single Sign-On 是美国红帽(Red Hat)公司的一个身份验证和访问控制系统。该工具负责为系统的身份验证和访问控制功能,支持大多数身份验证协议(Oauth、OpenId Connect)等,并可轻……

  Red Hat Single Sign-On 是美国红帽(Red Hat)公司的一个身份验证和访问控制系统。该工具负责为系统的身份验证和访问控制功能,支持大多数身份验证协议(Oauth、OpenId Connect)等,并可轻易集成 OpenShift 和 Red Hat 中间件等多数产品。

  12 月 1 日 , RedHat 发布了安全更新,修复了 Red Hat Single Sign-On 中发现的 SQL 注入漏洞。以下是漏洞详情:

  漏洞详情

  来源:https://access.redhat.com/errata/RHSA-2020:5254

  CVE-2020-25638 CVSS 评分:7.4 严重程度:高

  SQL 注入即是指 web 应用程序对用户输入数据的合法性没有判断,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

  在 hibernate-core 5.4.23.Final 及先前版本中发现了一个漏洞 , 当在查询的 SQL 注释中使用文字时,在 JPA Criteria API 的实现中进行 SQL 注入可以允许使用未经处理的文字。此漏洞可能使攻击者可以访问未授权的信息或可能进行进一步的攻击。此漏洞的最大威胁是对数据机密性和完整性的威胁。

  受影响产品和版本

  Red Hat Single Sign-On Text-Only Advisories x86_64

  Red Hat OpenStack Platform 10 (Newton)

  Red Hat OpenStack Platform 13 (Queens)

  Red Hat JBoss Fuse 7

  Red Hat Integration Camel K

  Red Hat Integration Service Registry

  Red Hat JBoss Web Server 5

  A-MQ Clients 2

  Red Hat BPM Suite 6

  Red Hat build of Quarkus

  Red Hat CodeReady Studio 12

  解决方案

  RedHat 已经发布安全更新 , 可以从客户门户网站获得针对 Red Hat Single Sign-On 7.4 的安全更新

  查看更多漏洞信息 以及升级请访问官网:

  https://access.redhat.com/security/security-updates/#/security-advisories

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。