漏洞风险提示(20231017)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Apache Airflow信息泄露漏洞(CVE-2023-45348)
一、漏洞描述:
Apache Airflow 是一个能够开发、调度和监控工作流的编排平台。Apache Airflow 版本 2.7.0 和 2.7.1中,当expose_config选项(默认为False)设置为 non-sensitive-only时,经过身份验证的威胁者可利用该漏洞获取敏感配置信息。
二、风险等级:
高危
三、影响范围:
Apache Airflow版本2.7.0 - 2.7.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,版本获取链接:
https://github.com/apache/airflow/releases
2 Linux netfilter UAF漏洞(CVE-2023-5178)
一、漏洞描述:
Linux Kernel 是 Linux 操作系统的核心组件,它负责管理系统的内存,进程,设备,网络等功能。Linux Kernel 是一个开源的软件项目,由全球数千名开发者共同维护和贡献。由于Linux内核中NVMe-oF/TCP子系统存在逻辑漏洞,拥有向NVMe-oF/TCP服务器(无论是局域网还是广域网)发送消息的恶意操作者可能会导致UAF和双重释放,从而可能导致远程内核代码执行。
二、风险等级:
高危
三、影响范围:
任何启用了NVMe-oF/TCP功能的Linux机器(Linux版本5.15及以上)
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lore.kernel.org/all/20231004173226.5992-1-sj@kernel.org/T/
3 Fuxa 命令注入漏洞(CVE-2023-33831)
一、漏洞描述:
FUXA 是一款基于 Web 的过程可视化 (SCADA/HMI/Dashboard) 软件。借助 FUXA,您可以通过针对机器的个性化设计和实时数据显示来创建现代过程可视化。 FUXA 1.1.13 的 /api/runscript 端点中存在远程命令执行 (RCE) 漏洞,允许攻击者通过精心设计的 POST 请求执行任意命令。
二、风险等级:
高危
三、影响范围:
FUXA <= 1.1.13
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/frangoteam/FUXA/releases
4 Skype for Business 权限提升漏洞(CVE-2023-41763)
一、漏洞描述:
远程威胁者可以对目标 Skype for Business 服务器进行特制网络调用,这可能导致解析向任意地址发出的 http 请求,从而可能导致IP 地址或端口号等敏感信息泄露,威胁者可能利用这些信息来访问内部网络。目前该漏洞已经公开披露,且已发现被利用。
二、风险等级:
高危
三、影响范围:
Skype for Business Server 2019 CU7
Skype for Business Server 2015 CU13
四、修复建议:
目前厂商已发布升级以修复漏洞,获取链接:
https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-41763
页:
[1]