## 关键漏洞信息 **概述** - **公告ID:** RHSA-2018:0294 - **发布日期:** 2018-02-12 - **更新日期:** 2018-02-12 **类型/严重性** - **重要性:** 重要 **主题** - Red Hat JBoss Data Grid 7.1.2 现已可供下载。 **漏洞描述** - **CVE-2017-7525:** jackson-databind 反序列化漏洞,允许未经身份验证的用户通过向 ObjectMapper 的 readValue 方法发送恶意构造的输入来执行代码。 - **CVE-2017-15089:** Infinispan Hotrod 客户端会不安全地读取缓存中的反序列化数据。经过身份验证的攻击者可以将恶意对象注入数据缓存并在客户端上执行反序列化,可能会导致进一步的攻击。 - **CVE-2014-9970:** Jasnypt 中存在漏洞,允许攻击者对密码哈希比较进行计时攻击。 **解决方案** - 下载链接和解决方案信息可以在公告的“参考资料”部分找到。 - 在应用更新之前,请备份现有 Red Hat JBoss Data Grid 安装(包括数据库、配置文件等)。 **受影响的产品** - Red Hat JBoss Data Grid Text-Only Advisories x86_64 **修复记录** - **CVE-2014-9970:** BZ - 1455566 - **CVE-2017-7525:** BZ - 1462702 - **CVE-2017-15089:** BZ - 1503610 **参考资料** - [重要性分类](https://access.redhat.com/security/updates/classification/#important) - [JBoss Network List Software](https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=data.grid&downloadType=distributions&version=7.1.2) - [Red Hat Data Grid 7.1.2 发行说明](https://docs.redhat.com/en/documentation/red_hat_data_grid/7.1/html/7.1.2_release_notes) - [Red Hat JBoss Data Grid 文档](https://access.redhat.com/documentation/en-US/Red_Hat_JBoss_Data_Grid/)