欢迎user
漏洞综述
漏洞背景
Apache Geode最初由GemStone Systems公司开发,是一个提供实时的、一致的、贯7A7F云架构访问数据关键型数据管理平台。Apache Geode汇集服务器上的内存、CPU、网络资源和本地磁盘,跨多个进程来管理应用对象和应用行为。Apache Geode使用了动态数据复制和分区技术来实现高可用、高性能、高可扩展性和容错性。另外,Apache Geode还给于分布式数据容器提供了可靠的异步事件通知和可靠的消息投递能力。近日,新华三攻防实验室威胁预警团队监测到网上爆发了Apache Geode信息泄漏漏洞(CVE-2021-34797),成功利用此漏洞可对受害主机进行敏感信息获取。
漏洞原理
该漏洞是由于Apache Geode 1.12.4和1.13.4版本密码过滤不严、安全属性配置不当导致的日志文件敏感信息泄漏。攻击者可以使用密码为非字母或数字开头的值和设置安全属性为“sysprop-”、“javax.net.ssl”或者“security-”作为前缀,造成日志文件等产生敏感信息泄漏。
影响范围
Apache Geode < = 1.12.4
Apache Geode < = 1.13.4
漏洞等级:低危
处置方法
官方补丁
目前官方已发布最新版本,请受影响用户尽快更新。
https://geode.apache.org/releases/
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2021-34797