中国站

Eclipse Equinox 安全漏洞

CNNVD-ID编号 CNNVD-202207-624 CVE编号 CVE-2021-41037
发布时间 2022-07-08 更新时间 2022-07-11
漏洞类型 其他 漏洞来源 N/A
危险等级 中危 威胁类型 本地
厂商 N/A

漏洞介绍

Eclipse Equinox是Eclipse基金会的一个子项目,提供OSGi R4.x 核心框架规范的认证实现。 Eclipse Equinox 存在安全漏洞,该漏洞源于 p2 模块中可安装单元能够在安装过程中通过接触点改变Eclipse平台的安装和本地机器。例如,这些接触点可以改变用于启动应用程序的命令行,注入代理或其他通常需要特别注意的安全性设置。尽管p2有确保对工件进行签名然后帮助建立信任的内置策略,但是对于配置此类接触点的元数据部分没有这样的策略。因此,在安装过程中有可能安装一个会运行恶意代码的单元,而用户不会收到任何关于这个安装步骤来自不受信任源且存在风险的警告。

漏洞补丁

目前厂商已发布升级了Eclipse Equinox 安全漏洞的补丁,Eclipse Equinox 安全漏洞的补丁获取链接: https://bugs.eclipse.org/bugs/show_bug.cgi?id=577029

参考网址

受影响实体

暂无

信息来源

查询漏洞

    • 漏洞名称
    • CVE编号
    • CNNVD编号
  • 开始时间

  • 结束时间