安全公告/【CVE-2022-41853】

基本信息

漏洞描述

在 hsqldb (HyperSQL DataBase) 中使用 java.sql.Statement 或 java.sql.PreparedStatement 处理不受信任的输入的用户可能容易受到远程代码执行攻击。默认情况下，允许调用类路径中任何 Java 类的任何静态方法，从而导致代码执行。可以通过更新到 2.7.1 或将系统属性“hsqldb.method_class_names”设置为允许调用的类来防止此问题。例如，可以使用 System.setProperty("hsqldb.method_class_names", "abc") 或 Java 参数 -Dhsqldb.method_class_names="abc"。从 2.7.1 版开始，除了 java.lang.Math 中的类之外，所有类默认情况下都不可访问，需要手动启用。

漏洞判定

执行命令yum info PackageName获取软件包版本号，版本小于修复版本，则受此漏洞影响，版本大于等于修复版本，则此漏洞已修复

修复方式

软件包升级
hsqldb：
dnf update hsqldb

hsqldb1:
dnf update hsqldb1

参考

http://hsqldb.org/doc/2.0/guide/sqlroutines-chapt.html#src_jrt_access_control;https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=50212#c7;https://lists.debian.org/debian-lts-announce/2022/12/msg00020.html;https://www.debian.org/security/2023/dsa-5313