服务器之家

服务器之家 > 正文

RedHat 红帽身份验证访问控制系统发现 SQL 注入漏洞,需尽快升级

时间:2020-12-01 22:13     来源/作者:Techweb

Red Hat Single Sign-On 是美国红帽(Red Hat)公司的一个身份验证和访问控制系统。该工具负责为系统的身份验证和访问控制功能,支持大多数身份验证协议(Oauth、OpenId Connect)等,并可轻易集成 OpenShift 和 Red Hat 中间件等多数产品。

RedHat 红帽身份验证访问控制系统发现 SQL 注入漏洞,需尽快升级

12 月 1 日 , RedHat 发布了安全更新,修复了 Red Hat Single Sign-On 中发现的 SQL 注入漏洞。以下是漏洞详情:

漏洞详情

来源:https://access.redhat.com/errata/RHSA-2020:5254

CVE-2020-25638 CVSS 评分:7.4 严重程度:高

SQL 注入即是指 web 应用程序对用户输入数据的合法性没有判断,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

在 hibernate-core 5.4.23.Final 及先前版本中发现了一个漏洞 , 当在查询的 SQL 注释中使用文字时,在 JPA Criteria API 的实现中进行 SQL 注入可以允许使用未经处理的文字。此漏洞可能使攻击者可以访问未授权的信息或可能进行进一步的攻击。此漏洞的最大威胁是对数据机密性和完整性的威胁。

受影响产品和版本

Red Hat Single Sign-On Text-Only Advisories x86_64

Red Hat OpenStack Platform 10 (Newton)

Red Hat OpenStack Platform 13 (Queens)

Red Hat JBoss Fuse 7

Red Hat Integration Camel K

Red Hat Integration Service Registry

Red Hat JBoss Web Server 5

A-MQ Clients 2

Red Hat BPM Suite 6

Red Hat build of Quarkus

Red Hat CodeReady Studio 12

解决方案

RedHat 已经发布安全更新 , 可以从客户门户网站获得针对 Red Hat Single Sign-On 7.4 的安全更新

查看更多漏洞信息 以及升级请访问官网:

https://access.redhat.com/security/security-updates/#/security-advisories

标签:

相关文章

热门资讯

2020微信伤感网名听哭了 让对方看到心疼的伤感网名大全
2020微信伤感网名听哭了 让对方看到心疼的伤感网名大全 2019-12-26
Intellij idea2020永久破解,亲测可用!!!
Intellij idea2020永久破解,亲测可用!!! 2020-07-29
歪歪漫画vip账号共享2020_yy漫画免费账号密码共享
歪歪漫画vip账号共享2020_yy漫画免费账号密码共享 2020-04-07
电视剧《琉璃》全集在线观看 琉璃美人煞1-59集免费观看地址
电视剧《琉璃》全集在线观看 琉璃美人煞1-59集免费观看地址 2020-08-12
最新idea2020注册码永久激活(激活到2100年)
最新idea2020注册码永久激活(激活到2100年) 2020-07-29
返回顶部