第 7 章 已知问题
以下小节描述了版本 7.5 中的已知问题。
7.1. CVE 安全漏洞
作为中间件集成平台,Fuse 可能会与大量第三方组件集成。无法始终排除 Fuse 的一些第三方依赖项可能会存在安全漏洞。本节记录了影响 Fuse 7.5 第三方依赖项的已知安全漏洞。
- ENTESB-12489 CVE-2019-9827 - Amazon Web Services 上的 Fuse 控制台独立
-
由于安全问题,您不应将独立 Fuse 应用程序部署到 Amazon Web Services (AWS)。这个限制适用于所有支持的独立环境(Spring Boot 1.x 和 2.x、4.X、Red Hat JBoss Enterprise Application Platform)。如果要在 AWS 上部署 Fuse 控制台独立,强烈建议您升级到 Fuse 7.7 或更高版本,并通过将
hawtio.disableProxy系统属性设置为true来禁用 Fuse Console 的代理 servlet。 - CVE-2017-12629 Solr/Lucene -security 绕过访问敏感数据 - CVE-2017-12629
Apache Solr 是一个流行的开源搜索平台,它使用 Apache Lucene 搜索引擎。如果您的应用程序使用 Apache Solr 与 Apache Lucene (例如,使用 Camel Solr 组件)的 Apache Solr 的组合,则可能会受此安全漏洞的影响。有关此漏洞的详情以及要采取的缓解方案,请参阅链接的安全公告。
注意Fuse 运行时 不直接 使用 Apache Solr 或 Apache Lucene。只有在集成应用程序上下文中同时使用 Apache Solr 和 Apache Lucene 时(例如,使用 Camel Solr 组件时),才会出现安全风险。
- 与 jackson-databind 安全漏洞相关的多个 CVE
使用 FasterXML
jackson-databind库的应用程序通过取消序列化 JSON 内容来实例化 Java 对象,可能会受到 远程代码执行攻击的影响。但是,这个漏洞不是自动的,如果您进行适当的缓解方案步骤,可以避免这样做。在攻击可能前,必须至少满足以下先决条件:
您已启用了 polymorphic 类型处理,以便在
jackson-databind中对 JSON 内容进行反序列化处理。在 Jackson JSON 中,有两种启用 polymorphic 类型处理的方法:-
使用
@JsonTypeInfo和@JsonSubTypes注释的组合。 -
通过调用
ObjectMapper.enableDefaultTyping ()方法。这个选项特别危险,因为它可以有效地全局启用多态输入。
-
使用
您的 Java 类路径中有一个或多个 gadget 类,这些类尚未由当前版本
jackson-databind列入黑名单。gadget 类被定义为执行敏感(可能被利用)操作的任何类,作为执行构造器或 setter 方法(这是可在反序列化过程中调用的方法)的副作用。Jackson JSON 库维护的 gadget 黑名单是针对远程代码执行漏洞的 defence 的最后一行。它存在大量 gadget 类,它解释了为什么有多个与
jackson-databind漏洞相关的 CVE。有不同的 CVE 与不同类型的小工具类相关。
如果您需要在应用程序中使用
jackson-databind库,您可以采取最重要的措施来降低风险: 避免 Jackson JSON 中的 polymorphic 类型处理,且无帐户应调用ObjectMapper.enableDefaultTyping ()方法。