棱镜七彩安全预警

近日网上有关于开源项目Apache MINA SSHD反序列化漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应。

项目介绍

Apache MINA SSHD 是一个为Java应用程序提供SSH支持的java库。

项目主页

SSHD Overview — Apache MINA

代码托管地址

https://github.com/apache/mina-sshd

CVE编号

CVE-2022-45047

漏洞情况

Apache MINA SSHD是一个为Java的应用程序提供SSH支持的java库。

Apache MINA SSHD在2.9.2之前的 SimpleGeneratorHostKeyProvider 类中存在反序列化漏洞，远程攻击者可利用此漏洞加载服务器主机的SSH密钥（java.security.PrivateKey）。用户可选择使用 OpenSSH 代替 SimpleGeneratorHostKeyProvider 生成秘钥，并使用 org.apache.sshd.common.keyprovider.FileKeyPairProvider 类进行加载来缓解此漏洞。

受影响的版本

org.apache.sshd:sshd-common@(-∞, 2.9.2)

修复方案

升级org.apache.sshd:sshd-common到 2.9.2 或更高版本

链接地址：

NVD - CVE-2022-45047

Better file handling for host keys · apache/mina-sshd@5a8fe83 · GitHub

[SSHD-1297] Provide KeyUtils.loadPublicKey() · apache/mina-sshd@63952e7 · GitHub