安全公告/【CVE-2021-37533】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:中危
影响源码包:apache-commons-net
CVSS评分:6.5
发现日期:2024-09-19
修复日期:2024-10-24
修复版本:

漏洞描述

在 Apache Commons Net 3.9.0 之前,Net 的 FTP 客户端默认信任来自 PASV 响应的主机。恶意服务器可以重定向 Commons Net 代码以使用其他主机,但用户必须首先连接到恶意服务器。这可能会导致有关在客户端的私有网络上运行的服务的信息泄露。版本 3.9.0 中的默认值现在为 false,以忽略此类主机,就像 cURL 一样。请参阅 https://issues.apache.org/jira/browse/NET-711 。

漏洞判定


        

        

            
修复方式

            
软件包升级
dnf update apache-commons-net


        

  
        

            
补丁

            

        

        

            
参考

            

                                https://lists.apache.org/thread/o6yn9r9x6s94v97264hmgol1sf48mvx7

                                http://www.openwall.com/lists/oss-security/2022/12/03/1

                                https://lists.debian.org/debian-lts-announce/2022/12/msg00038.html

                                https://www.debian.org/security/2022/dsa-5307