安全公告/【CVE-2022-44729】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:高危
影响源码包:batik
CVSS评分:7.1
发现日期:2024-09-19
修复日期:2024-10-16
修复版本:

漏洞描述

Apache 软件基金会 Apache XML Graphics Batik 中的服务器端请求伪造 (SSRF) 漏洞。此问题影响 Apache XML Graphics Batik:1.16。 在 1.16 版本中,恶意 SVG 可能会默认触发加载外部资源,从而导致资源消耗,在某些情况下甚至会导致信息泄露。建议用户升级到 1.17 或更高版本。

漏洞判定


        

        

            
修复方式

            
软件包升级
dnf install batik


        

  
        

            
补丁

            

        

        

            
参考

            

                                https://lists.apache.org/thread/hco2nw1typoorz33qzs0fcdx0ws6d6j2

                                https://xmlgraphics.apache.org/security.html

                                http://www.openwall.com/lists/oss-security/2023/08/22/4

                                http://www.openwall.com/lists/oss-security/2023/08/22/2

                                https://lists.debian.org/debian-lts-announce/2023/10/msg00021.html

                                https://security.gentoo.org/glsa/202401-11