HSQLDB 安全漏洞（CVE-2022-41853）

admin

0
文章

0
评论

2023-11-30 05:38:38 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 HSQLDB 安全漏洞（CVE-2022-41853）

CVE编号

CVE-2022-41853

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-10-12

漏洞描述

HSQLDB是The HSQL Development Group团队的一个用 Java 编写的关系数据库管理系统。 HSQLDB 存在安全漏洞，该漏洞源于其使用java.sql.Statement或java.sql.PreparedStatement处理不可信输入时，默认情况下允许调用类路径中任何Java类的任何静态方法，导致攻击者可以执行代码。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=50212

参考链接
http://hsqldb.org/doc/2.0/guide/sqlroutines-chapt.html
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=50212
https://lists.debian.org/debian-lts-announce/2022/12/msg00020.html
https://www.debian.org/security/2023/dsa-5313

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	hsqldb	hypersql_database	*		Up to (excluding) 2.7.1
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	hsqldb-javadoc	*		Up to (excluding) 1.8.1.3-15.1.al7
	运行在以下环境
	系统	amazon_2	hsqldb	*		Up to (excluding) 1.8.1.3-15.amzn2.0.1
	运行在以下环境
	系统	amazon_AMI	hsqldb	*		Up to (excluding) 1.8.1.3-1.13.amzn1
	运行在以下环境
	系统	anolis_os_7	hsqldb-demo	*		Up to (excluding) 1.8.1.3-15
	运行在以下环境
	系统	centos_7	hsqldb	*		Up to (excluding) 1.8.1.3-15.el7_9
	运行在以下环境
	系统	debian_10	hsqldb	*		Up to (excluding) 2.4.1-2+deb10u1
	运行在以下环境
	系统	debian_11	hsqldb	*		Up to (excluding) 2.5.1-1+deb11u1
	运行在以下环境
	系统	debian_12	hsqldb	*		Up to (excluding) 2.7.1-1
	运行在以下环境
	系统	debian_sid	hsqldb	*		Up to (excluding) 2.7.1-1
	运行在以下环境
	系统	kylinos_aarch64_V10	hsqldb	*		Up to (excluding) 1.8.1.3-15.el7_9
	运行在以下环境
	系统	kylinos_x86_64_V10	hsqldb	*		Up to (excluding) 1.8.1.3-15.el7_9
	运行在以下环境
	系统	opensuse_Leap_15.3	hsqldb-demo	*		Up to (excluding) 2.3.3-150000.7.3.1
	运行在以下环境
	系统	opensuse_Leap_15.4	hsqldb-demo	*		Up to (excluding) 2.3.3-150000.7.3.1
	运行在以下环境
	系统	oracle_6	oraclelinux-release	*		Up to (excluding) 1.8.0.10-12.0.1.el6
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 1.8.1.3-15.el7_9
	运行在以下环境
	系统	redhat_6	hsqldb	*		Up to (excluding) 1:1.8.0.10-13.el6_10
	运行在以下环境
	系统	redhat_7	hsqldb	*		Up to (excluding) 1.8.1.3-15.el7_9