发布日期：2019-07-11
更新日期：2019-07-11

受影响系统：

Apache Karaf 4.2.2
Apache Karaf 4.2.1
Apache Karaf 4.2
Apache Karaf 4.1.7
Apache Karaf 4.1.6
Apache Karaf 4.1.5
Apache Karaf 4.1.4
Apache Karaf 4.1.3
Apache Karaf 4.1.1
Apache Karaf 4.1
Apache Karaf 4.0.8
Apache Karaf 4.0
Apache Karaf 3.7

不受影响系统：

Apache Karaf 4.2.3

描述：

---

BUGTRAQ  ID: 107462
CVE(CAN) ID: CVE-2019-0191

Apache Karaf美国Apache基金会的一款用于部署应用程序和组件的轻量级的OSGi（Java动态化模块化系统）容器。
Apache Karaf中存在任意文件覆盖漏洞，该漏洞源于Apache Karaf Kar Deployer读取.kar archives并从zip文件中的“repository/”和“resources/”条目中提取路径，并将这些路径的内容写入karaf repo和resources目录，但不会对zip文件中的路径进行任何验证。攻击者可利用该漏洞创建一个目录名为“..”的.kar文件并使其从目录中脱离的，将任意内容写入文件系统。

<*来源：Colm O hEigeartaigh
  
  链接：https://seclists.org/oss-sec/2019/q1/171
*>

建议：

---

厂商补丁：

SECLISTS
--------
SECLISTS已经为此发布了一个安全公告（CVE-2019-0191）以及相应补丁:
CVE-2019-0191：[SECURITY] New security advisory for CVE-2019-0191 released for Apache Karaf
链接：https://seclists.org/oss-sec/2019/q1/171

补丁下载：

浏览次数：1740
严重程度：0（网友投票）