CVE-2021-41766 in Karaf
要約
〜によって VulDB • 2026年06月05日
Apache Karafは、Java Management Extensions(JMX)を使用してアプリケーションおよびJavaランタイムの監視を可能にします。JMXは、クライアントとサーバー間の通信にJava直列化オブジェクトを利用するJava RMIベースの技術です。デフォルトの実装では認証なしでの逆シリアライズ攻撃から保護されていますが、Apache Karafで使用される実装はこの種の攻撃に対して保護されていません。Java逆シリアライズの脆弱性の影響は、ターゲットのクラスパス内で利用可能なクラスに強く依存します。一般的に言って、信頼できないデータの逆シリアライゼーションは常に高いセキュリティリスクを表し、防止すべきです。デフォルトではKarafがJMXサーバーのクラスパスで限られた数のクラスのセットを使用しているため、このリスクは低くなります。これはシステムスコープのクラス(例:libフォルダ内のjar)に依存します。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.