漏洞风险提示(20231101)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 IBM i Navigator Management Central 权限提升漏洞(CVE-2023-40685)
一、漏洞描述:
IBM i 是 IBM Power 服务器上的操作系统,具有完全集成的架构,包括数据库、中间件、安全性、运行时和虚拟化技术。
IBM i Navigator 中的 Management Central 存在本地权限升级漏洞。拥有操作系统命令行访问权限的恶意行为者可利用此漏洞提升权限,从而获得操作系统的 root 访问权限。
二、风险等级:
高危
三、影响范围:
7.2 <= IBM i <= 7.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/7060686
2 Atlassian Confluence Data Center & Server 权限绕过漏洞(CVE-2023-22518)
一、漏洞描述:
Confluence Data Center 是一种自托管解决方案,可为组织提供各种配置选项来满足团队协作需求。Confluence Server 是一种适用于小型团队的自托管解决方案,提供了基本的协作和知识管理功能。
Atlassian Confluence Data Center & Server 存在权限绕过漏洞。未授权的攻击者可能对该漏洞进行利用,将会导致重大数据丢失。
二、风险等级:
高危
三、影响范围:
Confluence Data Center & Server < 7.19.16
Confluence Data Center & Server < 8.3.4
Confluence Data Center & Server < 8.4.4
Confluence Data Center & Server < 8.5.3
Confluence Data Center & Server < 8.6.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.atlassian.com/zh/software/confluence/download/data-center
3 Apache HTTP Server 越界读取漏洞(CVE-2023-31122)
一、漏洞描述:
Apache HTTP服务器项目致力于为现代操作系统(包括UNIX和Windows)开发和维护一个开源HTTP服务器。该项目的目标是提供一个安全、高效和可扩展的服务器,该服务器提供与当前HTTP标准同步的HTTP服务。
该漏洞存在于Apache HTTP Server 的 mod_macro 模块中,由于在处理超长的宏时,不会添加空字节终止符,导致越界读取,成功的利用该漏洞可导致程序崩溃。
二、风险等级:
高危
三、影响范围:
Apache HTTP Server<=2.4.57
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://httpd.apache.org/download.cgi
4 Google Chrome释放后使用漏洞(CVE-2023-5472)
一、漏洞描述:
Google Chrome是由Google公司开发的一款网页浏览器。
Google Chrome版本118.0.5993.117之前在Profiles中存在Use-After-Free(UAF)漏洞,远程威胁者可以通过恶意设计的HTML页面利用该漏洞,成功利用可能导致代码执行、拒绝服务或数据损坏等。
二、风险等级:
高危
三、影响范围:
Google Chrome(Windows)版本:< 118.0.5993.117/.118
Google Chrome(Mac/Linux)版本:< 118.0.5993.117
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.google.cn/chrome/
页:
[1]