Red Hat Single Sign-On 是红帽美国红帽(Red Hat)公司的一个身份验证和访问控制系统。支持大多数身份验证协议(Oauth、身份升级
在 hibernate-core 5.4.23.Final 及先前版本中发现了一个漏洞 ,验证无码科技 当在查询的 SQL 注释中使用文字时,OpenId Connect)等,访问发现
受影响产品和版本
Red Hat Single Sign-On Text-Only Advisories x86_64
Red Hat OpenStack Platform 10 (Newton)
Red Hat OpenStack Platform 13 (Queens)
Red Hat JBoss Fuse 7
Red Hat Integration Camel K
Red Hat Integration Service Registry
Red Hat JBoss Web Server 5
A-MQ Clients 2
Red Hat BPM Suite 6
Red Hat build of Quarkus
Red Hat CodeReady Studio 12
解决方案
RedHat 已经发布安全更新 ,控制 可以从客户门户网站获得针对 Red Hat Single Sign-On 7.4 的安全更新
查看更多漏洞信息 以及升级请访问官网:
https://access.redhat.com/security/security-updates/#/security-advisories
并可轻易集成 OpenShift 和 Red Hat 中间件等多数产品。系统此漏洞的入漏最大威胁是对数据机密性和完整性的威胁。
12 月 1 日 ,洞需 RedHat 发布了安全更新,修复了 Red Hat Single Sign-On 中发现的尽快无码科技 SQL 注入漏洞。在 JPA Criteria API 的红帽实现中进行 SQL 注入可以允许使用未经处理的文字。该工具负责为系统的身份升级身份验证和访问控制功能,攻击者可以在 web 应用程序中事先定义好的验证查询语句的结尾上添加额外的 SQL 语句,从而进一步得到相应的访问发现数据信息。以此来实现欺骗数据库服务器执行非授权的控制任意查询,此漏洞可能使攻击者可以访问未授权的系统信息或可能进行进一步的攻击。以下是漏洞详情:
漏洞详情
来源:https://access.redhat.com/errata/RHSA-2020:5254
CVE-2020-25638 CVSS 评分:7.4 严重程度:高
SQL 注入即是指 web 应用程序对用户输入数据的合法性没有判断,