棱镜七彩安全预警

近日网上有关于开源项目Apache MINA SSHD反序列化漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应。

项目介绍

Apache MINA SSHD 是一个为Java应用程序提供SSH支持的java库。

项目主页

https://mina.apache.org/sshd-project/

代码托管地址

https://github.com/apache/mina-sshd

CVE编号

CVE-2022-45047

漏洞情况

Apache MINA SSHD是一个为Java的应用程序提供SSH支持的java库。

Apache MINA SSHD在2.9.2之前的 SimpleGeneratorHostKeyProvider 类中存在反序列化漏洞，远程攻击者可利用此漏洞加载服务器主机的SSH密钥（java.security.PrivateKey）。用户可选择使用 OpenSSH 代替 SimpleGeneratorHostKeyProvider 生成秘钥，并使用 org.apache.sshd.common.keyprovider.FileKeyPairProvider 类进行加载来缓解此漏洞。

受影响的版本

org.apache.sshd:sshd-common@(-∞, 2.9.2)

修复方案

升级org.apache.sshd:sshd-common到 2.9.2 或更高版本

链接地址：

https://nvd.nist.gov/vuln/detail/CVE-2022-45047

https://github.com/apache/mina-sshd/commit/5a8fe830b2a2308a2b24ac8115a391af477f64f5

https://github.com/apache/mina-sshd/commit/63952e7f7b395f23dffc64bdc6fdaf99f68b8acf