Red Hat JBoss Enterprise Application Platform（EAP）是红帽（Red Hat）企业的一套开源的、鉴于J2EE的当中件平台。该平台最重要的用于建立、部署和托管Java利用程序与效劳。2月4日,RedHat发表了平安革新，修缮了红帽J老板 EAP当中件平台中发觉的少许要紧漏洞。之下是漏洞详情：

漏洞详情

来自：https://access.redhat.com/errata/RHSA-2022:0438

1.CVE-2022-23305 CVSS评分：8.1 惨重水平：惨重

在 1.x 版的 Java 日志库 Apache Log4j 中发觉了一种漏洞。Log4j 1.x 中的 JDBCAppender 简单遭到不受相信数据中的SQL注入的作用。假如部署的利用程序被配置为运用带有某些插值令牌的 JDBCAppender，这应允远程进击者在数据库中运转 SQL 语句。

2.CVE-2022-23307 CVSS评分：8.1 惨重水平：惨重

在log4j 1.x链锯组件中发觉了一种漏洞，此中某些日志条目的内容被反序列化并可能应允代码执行。此漏洞应允进击者在运转电锯组件时向效劳器发送带有序列化数据的恶意要求以发展反序列化。

3.CVE-2021-4104 CVSS评分：7.5 惨重水平：惨重

在 1.x 版的 Java 日志库 Apache Log4j 中发觉了一种漏洞。Log4j 1.x 中的 JMSAppender 简单遭到不受相信数据的反序列化。假如部署的利用程序配置为运用 JMSAppender 和进击者的 JNDI LDAP 端点，这应允远程进击者在效劳器上执行代码。

4.CVE-2022-23302 CVSS评分：7.5 惨重水平：惨重

在 1.x 版的 Java 日志库 Apache Log4j 中发觉了一种漏洞。Log4j 1.x 中的 JMSSink 简单遭到不受相信数据的反序列化。假如部署了 JMSSink 而且已配置为执行 JNDI 要求，这应允远程进击者在效劳器上执行代码。

受作用产物和版本

JBoss Enterprise Application Platform 6.4 for RHEL 7 x86_64

JBoss Enterprise Application Platform 6.4 for RHEL 7 ppc64

JBoss Enterprise Application Platform 6.4 for RHEL 6 x86_64

JBoss Enterprise Application Platform 6.4 for RHEL 6 ppc64

JBoss Enterprise Application Platform 6.4 for RHEL 6 i386

JBoss Enterprise Application Platform 6 for RHEL 7 x86_64

JBoss Enterprise Application Platform 6 for RHEL 7 ppc64

JBoss Enterprise Application Platform 6 for RHEL 6 x86_64

JBoss Enterprise Application Platform 6 for RHEL 6 ppc64

JBoss Enterprise Application Platform 6 for RHEL 6 i386

解决方案

Red Hat JBoss Enterprise Application Platform 6.4 for Red Hat Enterprise Linux 5、6 和 7 的革新现已公布。

相关如何利用此革新的具体消息，请参阅：

https://access.redhat.com/articles/11258

察看更多漏洞消息 以及进级请访问官网：

https://access.redhat.com/security/security-updates/#/security-advisories