База знаний по категориям
Набор сигнатур от 01.11.2025
«Конфидент» выполнил регулярное обновление доступного всем клиентам набора сигнатур SIGPROD
При разработке и создании нового набора сигнатур Системы обнаружения и предотвращения вторжений (СОВ) Dallas Lock «Конфидент» обратил внимание на уязвимость в Apache ActiveMQ, получившую идентификатор CVE: 2022-41678.
После аутентификации в Jolokia пользователь потенциально может запустить выполнение произвольного кода.
Если говорить подробнее, то в конфигурациях ActiveMQ Jetty позволяет org.jolokia.http.AgentServlet обрабатывать запросы к /api/jolokia.
org.jolokia.http.HttpRequestHandler#handlePostRequest может создавать JmxRequest с помощью JSONObject. И вызывает org.jolokia.http.HttpRequestHandler#executeRequest.
В более глубоких стеках вызовов находится org.jolokia.handler.ExecHandler#doHandleRequest, который может быть вызван с помощью рефлексии.
Это может привести к удалённому выполнению кода через различные MBean-объекты.
В текущем обновлении сигнатур СОВ также были добавлены сигнатуры, защищающие в том числе от следующих новых уязвимостей:
- CVE: 2025-10041
- CVE: 2025-9196
- CVE: 2025-61456
- CVE: 2025-61455
- CVE: 2022-41678
- CVE: 2025-7441
- CVE: 2025-6554
- CVE: 2024-27304
- CVE: 2025-60374
- CVE: 2025-10353
- CVE: 2008-3795
- CVE: 2008-3761
- CVE: 2008-3879
- CVE: 2008-7053
- CVE: 2008-7103
- CVE: 2008-3892
- EDB-ID: 6365
- EDB-ID: 6391
- CVE: 2008-2922
- CVE: 2008-3704
- CVE: 2008-3878
- CVE: 2008-4048
- CVE: 2008-4049
- CVE: 2008-4050
- CVE: 2008-2639
- CVE: 2008-4699
- CVE: 2008-3877
- CVE: 2008-4087
- CVE: 2008-4470
- CVE: 2008-4071
Все вышеуказанные и многие другие уязвимости были устранены с помощью сигнатур Системы обнаружения и предотвращения вторжений Dallas Lock.
Подробную информацию по всему набору сигнатур вы можете получить по идентификационному номеру уязвимости, который находится во вкладке:
СОВ ⇒ Сигнатуры ⇒ Сигнатуры трафика ⇒ Информация об уязвимости
