漏洞标题
在Java 8中,使用JMX over RMI时,Apache Geode加载未信任数据的错误。
漏洞描述信息
在Java 8上,通过RMI使用JMX时,Apache Geode存在解析不受信任数据的漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
Apache Geode deserialization of untrusted data flaw when using JMX over RMI on Java 8.
漏洞描述信息
Apache Geode versions up to 1.12.5, 1.13.4 and 1.14.0 are vulnerable to a deserialization of untrusted data flaw when using JMX over RMI on Java 8. Any user still on Java 8 who wishes to protect against deserialization attacks involving JMX or RMI should upgrade to Apache Geode 1.15 and Java 11. If upgrading to Java 11 is not possible, then upgrade to Apache Geode 1.15 and specify "--J=-Dgeode.enableGlobalSerialFilter=true" when starting any Locators or Servers. Follow the documentation for details on specifying any user classes that may be serialized/deserialized with the "serializable-object-filter" configuration option. Using a global serial filter will impact performance.
CVSS信息
N/A
漏洞类别
可信数据的反序列化
漏洞标题
Apache Geode 代码问题漏洞
漏洞描述信息
Apache Geode是美国阿帕奇(Apache)基金会的一套应用于分布式云架构中提供对数据密集型应用程序实时和一致访问数据的管理平台。 Apache Geode 1.12.5、1.13.4和1.14.0以下版本存在安全漏洞,该漏洞源于在Java 8上通过RMI使用JMX时,存在不受信任的数据反序列化缺陷。
CVSS信息
N/A
漏洞类别
代码问题