安全漏洞
请注意,不会为单个漏洞生成二进制补丁。要获得特定漏洞的二进制修复,您应该升级到已修复该漏洞的 Apache Maven 版本。
有关报告漏洞的更多信息,请参阅Apache 安全团队页面。
Maven 依赖、EAR、Javadoc、WAR 和插件插件
严重性:低
供应商:Apache 软件基金会
受影响的版本:
- Maven 依赖插件 3.1.0 及更早版本
- Maven EAR 插件 3.0.0 及更早版本
- Maven Javadoc 插件 2.5 到 3.0.0
- Maven WAR 插件 2.1-alpha-1 到 3.2.0
- Maven Plugin 插件 3.0 到 3.5.1
描述:作为更广泛研究的一部分,Snyk 安全研究团队发现了一个任意文件写入通用漏洞,该漏洞可以使用包含路径遍历文件名的特制 zip(或 bzip2、gzip、tar、xz、war)存档来实现. 因此,当文件名连接到目标提取目录时,如果使用的提取工具没有进行足够的检查,最终路径最终会出现在目标文件夹之外。受影响的插件使用 plexus-archiver 将依赖项解压缩到磁盘,并且已被确定为在依赖项受到损害时暴露漏洞的潜在触发器。
有关详细信息,请参阅完整说明。
信用:这个问题是由 Snyk 安全研究团队发现的
CVE-2013-0253 Apache Maven 3.0.4
严重性:中
供应商:Apache 软件基金会
受影响的版本:
- apache Maven 3.0.4
- Apache Maven Wagon 2.1、2.2、2.3
说明:Apache Maven 3.0.4(带有 Apache Maven Wagon 2.1)默认引入了非安全 SSL 模式。此模式禁用所有 SSL 证书检查,包括:主机名验证、日期有效性和证书链。不验证证书会引入中间人攻击的可能性。
建议所有用户升级到Apache Maven 3.0.5和 Apache Maven Wagon 2.4。
信用:这个问题是由 Graham Leggett 确定的
CVE-2012-6153 Apache Maven Wagon :: WebDAV 提供程序
严重性:中
供应商:Apache 软件基金会
受影响的版本:
- Apache Maven Wagon WebDAV Provider 2.12 及更早版本
说明:4.2.3 之前的 Apache Commons HttpClient 中的 http/conn/ssl/AbstractVerifier.java 无法正确验证服务器主机名是否与 X.509 证书的主题的通用名称 (CN) 或 subjectAltName 字段中的域名匹配,这允许中间人攻击者通过证书欺骗 SSL 服务器,该证书的主题在非 CN 字段的字段中指定通用名称。
建议此提供程序的用户升级到Apache Maven Wagon :: WebDAV Provider 3.0.0