Tin An Ninh Mạng

Đã có bản vá cho lỗ hổng CVE-2022-46751 trong Apache Ivy

1489939945hacker-silhouette.jpg
Một lỗ hổng từ năm 2022 tồn tại trong Apache Ivy – công cụ quản lý phụ thuộc (dependency management) phổ biến có thể cho phép kẻ tấn công chèn mã độc vào quá trình xử lý tệp XML của Ivy.


{

}

1692679061408.png

Lỗ hổng có mã định danh CVE-2022-46751, chưa có điểm CVSS. Nguyên nhân gây ra lỗ hổng do Ivy cho phép xử lý định nghĩa loại tài liệu bên ngoài (DTD) khi phân tích các tệp XML.

DTD (document type definitions) là một thành phần tạo nên văn bản XML, có vai trò định nghĩa cấu trúc các phần tử và thuộc tính xuất hiện trong XML. Khai thác thành công lỗ hổng, kẻ tấn công có thể:

  • Đánh cắp dữ liệu nhạy cảm
  • Truy cập các tài nguyên độc quyền của máy chủ Ivy
  • Ngắt kết nối hoặc làm gián đoạn hoạt động tiêu chuẩn của Ivy
1692678678695.png

Để giải quyết lỗ hổng từ năm 2022 này, các nhà chuyên gia Apache Ivy đã phát hành phiên bản 2.5.2. Đáng chú ý là tính năng xử lý DTD sẽ bị vô hiệu hóa theo mặc định.

Người dùng vẫn sử dụng phiên bản Ivy cũ hơn 2.5.2 có thể tận dụng các thuộc tính hệ thống Java để hạn chế việc xử lý những DTD bên ngoài, nhưng vẫn nên cập nhật ngay bản vá để giảm thiểu các rủi ro sau này.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !