一、漏洞详情

Apache MINA是一个能够帮助用户开发高性能和高可扩展性网络应用程序的框架，Apache MINA SSHD是支持客户端和服务器端的SSH协议的综合Java库。

Apache发布安全公告，修复了Apache MINA SSHD中的一个Java 反序列化漏洞（CVE-2022-45047）。Apache MINA SSHD 2.9.1及之前版本中，类org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider使用不安全的Java反序列化来加载序列化的java.security.PrivateKey，当数据不可信时，可能导致代码执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Apache MINA SSHD版本 <= 2.9.1

三、修复建议

目前该漏洞已经修复，受影响用户可以升级到Apache MINA SSHD 版本2.9.2。

下载链接：https://github.com/apache/mina-sshd