CVE编号
CVE-2013-1768利用情况
暂无补丁情况
官方补丁披露时间
2013-07-12漏洞描述
OpenJPA是Apache组织提供的开源项目,它实现了EJB 3.0中的JPA标准,为开发者提供功能强大、使用简单的持久化数据管理框架。Apache OpenJPA对恶意特制的OpenJPA对象进行反序列化时,可把可执行文件写入到文件系统中,攻击者需要找到一个未保护服务程序来利用此漏洞,然后需要利用其他未保护服务器程序来执行文件并或对系统的访问。
解决建议
用户可参考如下厂商提供的安全补丁以修复此漏洞:OpenJPA 1.0.x revision 1462558:
http://svn.apache.org/viewvc?view=revision&revision=1462558
OpenJPA 1.1.x revision 1462512:
http://svn.apache.org/viewvc?view=revision&revision=1462512
OpenJPA 1.2.x revision 1462488:
http://svn.apache.org/viewvc?view=revision&revision=1462488
OpenJPA 1.3.x revision 1462328:
http://svn.apache.org/viewvc?view=revision&revision=1462328
OpenJPA 2.0.x revision 1462318:
http://svn.apache.org/viewvc?view=revision&revision=1462318
OpenJPA 2.1.x revision 1462268:
http://svn.apache.org/viewvc?view=revision&revision=1462268
OpenJPA 2.2.1.x revision 1462225:
http://svn.apache.org/viewvc?view=revision&revision=1462225
OpenJPA 2.2.x revision 1462076:
http://svn.apache.org/viewvc?view=revision&revision=1462076
参考链接 |
|
|---|---|
| http://archives.neohapsis.com/archives/fulldisclosure/2013-06/0099.html | |
| http://rhn.redhat.com/errata/RHSA-2013-1862.html | |
| http://svn.apache.org/viewvc?view=revision&revision=1462076 | |
| http://svn.apache.org/viewvc?view=revision&revision=1462225 | |
| http://svn.apache.org/viewvc?view=revision&revision=1462268 | |
| http://svn.apache.org/viewvc?view=revision&revision=1462318 | |
| http://svn.apache.org/viewvc?view=revision&revision=1462328 | |
| http://svn.apache.org/viewvc?view=revision&revision=1462488 | |
| http://svn.apache.org/viewvc?view=revision&revision=1462512 | |
| http://svn.apache.org/viewvc?view=revision&revision=1462558 | |
| http://www-01.ibm.com/support/docview.wss?uid=swg1PM86780 | |
| http://www-01.ibm.com/support/docview.wss?uid=swg1PM86786 | |
| http://www-01.ibm.com/support/docview.wss?uid=swg1PM86788 | |
| http://www-01.ibm.com/support/docview.wss?uid=swg1PM86791 | |
| http://www-01.ibm.com/support/docview.wss?uid=swg21635999 | |
| http://www-01.ibm.com/support/docview.wss?uid=swg21644047 | |
| http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html | |
| http://www.securityfocus.com/bid/60534 | |
| https://exchange.xforce.ibmcloud.com/vulnerabilities/82268 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 1.0.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 1.0.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 1.0.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 1.0.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 1.0.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 1.1.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 1.2.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 1.2.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 1.2.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 2.0.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 2.0.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 2.1.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 2.1.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 2.2.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | openjpa | 2.2.1 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_14.04_lts | openjpa | * |
Up to (excluding) 2.2.2-1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_16.04_lts | openjpa | * |
Up to (excluding) 2.4.0-2 |
|||||
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 传输被破坏
- 服务器危害 服务器失陷
- 全网数量 N/A
还没有评论,来说两句吧...