棱镜七彩安全预警

近日网上有关于开源项目 Apache Karaf 存在远程代码执行漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应。

项目介绍

Karaf是Apache旗下的一个开源项目。Karaf同时也是一个基于OSGi的运行环境，Karaf提供了一个轻量级的OSGi容器，可以用于部署各种组件，应用程序。Karaf提供了很多特性用于帮助开发者和用户更加灵活的部署应用，例如：热部署、动态配置、几种日志处理系统、本地系统集成、可编程扩展控制台、ssh远程访问、内置安装认证机制等等。同时Karaf作为一款成熟而且优秀的OSGi运行环境以及容器已经被诸多Apache项目作为基础容器,例如：Apache Geronimo， ApacheServiceMix，Fuse ESB，由此可见Karaf在性能，功能和稳定性上都是个不错的选择。

项目主页

https://karaf.apache.org/

代码托管地址

GitHub - apache/karaf: Mirror of Apache Karaf

CVE编号

CVE-2022-40145

漏洞情况

Apache Karaf 是一个用于部署业务代码或应用程​​序的 modulith 运行时环境。

Apache Karaf 的受影响版本中由于jaas.modules.src.main.java.porg.apache.karaf.jass.modules.jdbc.JDBCUtils#doCreateDatasourceuse 中的 lookup 方法没有对 jndiName 有效过滤从而存在远程代码执行漏洞。当攻击者对 Karaf JDBC 数据源可控时，攻击者可通过将 JDBCUtils.DATASOURCE 配置为恶意的 LDAP/RMI 服务器（如 jndi:rmi://x.x.x.x:xxxx/Command ）远程执行恶意代码。

受影响的版本

org.apache.karaf:apache-karaf@[4.4.0, 4.4.2)

org.apache.karaf:apache-karaf@[2.0.1, 4.3.8)

修复方案

升级org.apache.karaf:apache-karaf到 4.4.2 或 4.3.8 或更高版本

链接地址：

NVD - CVE-2022-40145

https://karaf.apache.org/security/cve-2022-40145.txt

[KARAF-7568] Add JDBC scheme verification in JDBCUtils by jbonofre · Pull Request #1632 · apache/karaf · GitHub