漏洞风险提示(20231222)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Google Chrome WebRTC堆缓冲区溢出漏洞(CVE-2023-7024)
一、漏洞描述:
Google Chrome浏览器是一个由 Google(谷歌) 公司开发的网页浏览器。
此类漏洞通常会在成功读取或写入超出缓冲区边界的内存后导致浏览器崩溃或执行任意代码。
二、风险等级:
高危
三、影响范围:
Google Chrome(Windows)<120.0.6099.129
Google Chrome(Windows)<120.0.6099.130
Google Chrome(Mac/Linux)<120.0.6099.129
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://chromereleases.googleblog.com/
2 IBM Security Guardium Key Lifecycle Manager 目录遍历(CVE-2023-47702)
一、漏洞描述:
IBM Security Guardium Key Lifecycle Manager 是一款用于创建、存存储、备份和管理加密密钥的软件,是 IBM Guardium 数据安全 软件系列的一部分。
IBM Security Guardium Key Lifecycle Manager 在 4.2 版本中存在目录遍历漏洞。允许远程攻击者可以通过构造"/../"的特制URL请求,用来查看系统上的修改文件。
二、风险等级:
高危
三、影响范围:
IBM Security Guardium Key Lifecycle Manager 4.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/fixcentral/swg/downloadFixes?parent=IBM%20Security&product=ibm/Tivoli/IBM+Tivoli+Key+Lifecycle+Manager&release=4.2&platform=All&function=fixId&fixids=4.2.0-ISS-GKLM-FP0002&includeRequisites=1&includeSupersedes=0&downloadMethod=http
3 Zabbix Server session 泄漏漏洞(CVE-2023-32725)
一、漏洞描述:
Zabbix是Zabbix公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。
Zabbix Server存在安全漏洞,该漏洞源于接收到的会话 cookie 可用于以特定用户身份访问前端。受影响的产品和版本:ZABBIX Server 6.0.0至6.0.21版本,6.4.0至6.4.6版本,7.0.0alpha1至7.0.0alpha3版本。
二、风险等级:
高危
三、影响范围:
Zabbix >= 6.0.0
Zabbix <= 6.0.21
Zabbix >= 6.4.0
Zabbix <= 6.4.6
Zabbix >= 7.0.0alpha1
Zabbix <= 7.0.0alpha3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.zabbix.com/
4 Sentry Astro SDK 资源管理错误漏洞(CVE-2023-50249)
一、漏洞描述:
Mobileiron Sentry是美国思可信(Mobileiron)公司的一款智能网关产品。
Sentry Astro SDK 7.78.0至7.86.0版本存在资源管理错误漏洞,该漏洞源于存在正则表达式拒绝服务(ReDoS)漏洞。
二、风险等级:
高危
三、影响范围:
Sentry Astro SDK 7.78.0 - 7.86.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/getsentry/sentry-javascript/releases/tag/7.87.0
页:
[1]