云安全日报210924：红帽Jboss中间件平台发现重要安全漏洞，需要尽

红帽JBoss企业应用平台是红帽公司基于J2EE的开源中间件平台该平台主要用于构建，部署和托管Java应用和服务日前，红帽发布安全更新，修复红帽Jboss EAP中间件平台发现的一些重要漏洞

漏洞详细信息

1.CVE—2021—3690 CVSS得分:7.5严重性:很重要。

在暗流中发现一个漏洞传入的WebSocket PONG消息上的缓冲区泄漏可能会导致内存耗尽此漏洞允许攻击者造成拒绝服务该漏洞的最大威胁是可用性

2.CVE—2021—28170 CVSS得分:7.5严重性:重要。

在雅加达表达式语言实现3.0.3和更早版本中，ELParserTokenManager中的一个错误使无效的EL表达式能够被评估为有效。

3.CVE—2021—29425 CVSS得分:6.5严重性:很重要。

在Apache Commons IO 2.7之前，当使用不正确的输入字符串调用FileNameUtils.normalize方法时，//./foord quo，或者\. foo，结果将是相同的值，因此，如果调用代码将使用结果来构造路径值，它将提供对父目录中文件的访问，但不能进一步访问。

4.CVE—2021—3597 CVSS得分:5.9严重程度:中等。

红帽OpenStack Platform的OpenDaylight将不会针对此漏洞进行更新，因为它自OpenStack Platform 14以来已被弃用，并且只接收重要和关键漏洞的安全修复。

5.CVE—2021—3644 CVSS得分:3.3严重程度:中等。

在wildfly—core的所有版本中都发现了一个漏洞如果保管库表达式采用包含多个表达式的单个属性的形式，则被授予管理界面访问权限的用户可以访问他们不应该访问的保管库表达式，并可以检索存储在保管库中的表达式该漏洞的最大威胁是数据的机密性和完整性

受影响的产品和版本。

面向RHEL 7 x86_64的JBoss企业应用平台7.4

解决办法

以上漏洞在JBoss企业应用平台7.4.1中已经修复，建议及时升级修复。