漏洞风险提示(20240614)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Linux kernel缓冲区溢出漏洞(CVE-2024-26955)
一、漏洞描述:
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel存在缓冲区溢出漏洞,该漏洞源于调用者__block_write_begin_int()请求读取尚未映射的缓冲区,攻击者利用该漏洞导致内核崩溃。
二、风险等级:
高危
三、影响范围:
Linux kernel
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://git.kernel.org/stable/c/0c8aa4cfda4e4adb15d5b6536d155eca9c9cd44c
2 Jupyter Server Proxy 身份验证漏洞(CVE-2024-35225)
一、漏洞描述:
Jupyter Server Proxy是JupyterHub开源的一个库,允许在笔记本服务器旁边运行任意外部进程。Jupyter Server Proxy 3.2.4 之前、4.2.0 之前版本存在安全漏洞,该漏洞源于允许用户在其笔记本服务器运行任意外部进程,并为其提供经过身份验证的 Web 访问。
二、风险等级:
高危
三、影响范围:
Jupyter Server Proxy < 4.20
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/jupyterhub/jupyter-server-proxy/security/advisories/GHSA-fvcq-4x64-hqxr
3 Adfinis Document Merge Service 远程代码执行漏洞(CVE-2024-37301)
一、漏洞描述:
Adfinis Document Merge Service是Adfinis公司的一个合并文档模板服务。Adfinis Document Merge Service 6.5.1 及之前版本存在安全漏洞,该漏洞源于允许攻击者通过服务器端模板注入进行的远程代码执行攻击,当以 root 身份执行时,可能会导致受影响系统的完全接管。
二、风险等级:
高危
三、影响范围:
Adfinis Document Merge Service <= 6.5.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/adfinis/document-merge-service/security/advisories/GHSA-v5gf-r78h-55q6
4 BlackBerry QNX SDP 输入验证错误漏洞(CVE-2024-35213)
一、漏洞描述:
BlackBerry QNX SDP是加拿大黑莓(BlackBerry)公司的一个软件开发平台。BlackBerry QNX SDP 6.6版本、7.0版本和7.1版本存在输入验证错误漏洞,该漏洞源于存在不正确的输入验证漏洞,可能允许攻击者在图像处理过程的上下文中引发拒绝服务情况或执行代码。
二、风险等级:
高危
三、影响范围:
BlackBerry QNX SDP 6.6
BlackBerry QNX SD 7.0-7.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.blackberry.com/pkb/s/article/139914
页:
[1]