漏洞风险提示(20241220)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Apache Tomcat竞争条件远程代码执行漏洞(CVE-2024-50379)
一、漏洞描述:
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。用于实现对Servlet和JavaServer Page(JSP)的支持。Apache Tomcat存在安全漏洞。攻击者利用该漏洞可以在不区分大小写的文件系统上远程执行代码。以下版本受到影响:11.0.0-M1版本和11.0.1版本、10.1.0-M1版本至10.1.33版本和9.0.0.M1版本至9.0.97版本。
二、风险等级:
高危
三、影响范围:
Apache Tomcat 11.0.0-M1 - 11.0.1
Apache Tomcat 10.1.0-M1 - 10.1.33
Apache Tomcat 9.0.0.M1 - 9.0.97
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://tomcat.apache.org/index.html
2 Open Cluster Management 权限漏洞(CVE-2024-9779)
一、漏洞描述:
Open Cluster Management(OCM)是Open Cluster Management开源的一个社区驱动的项目。专注于 Kubernetes 应用程序的多集群和多云场景。Open Cluster Management存在安全漏洞,当用户有权访问包含 cluster-manager 或 klusterlet 部署的工作节点时,在 Open Cluster Management (OCM) 中发现一个缺陷。cluster-manager 部署使用同名 “cluster-manager” 的服务帐户,该帐户绑定到同样名为 “cluster-manager” 的 ClusterRole,其中包括创建 Pod 资源的权限。如果此部署在攻击者控制的节点上运行 Pod,攻击者可以通过创建和挂载目标服务帐户来控制整个集群,从而获取 cluster-manager 的 Token 并窃取任何服务帐户 Token。
二、风险等级:
高危
三、影响范围:
Open Cluster Management
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/open-cluster-management-io/ocm/releases/tag/v0.13.0
3 Next.js 授权问题漏洞(CVE-2024-51479)
一、漏洞描述:
Next.js是Vercel开源的一个 React 框架。Next.js 14.2.15之前版本存在授权问题漏洞,该漏洞源于如果应用程序根据路径名在中间件中执行授权,则应用程序根目录下的页面可能会绕过此授权。
二、风险等级:
高危
三、影响范围:
Next.js < 14.2.15
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/vercel/next.js/releases/tag/v14.2.15
4 DPDK 缓冲区溢出漏洞(CVE-2024-11614)
一、漏洞描述:
DPDK是一款基于Linux平台的数据平面开发套件。该产品支持在多种CPU架构上执行数据包处理。DPDK存在安全漏洞,该漏洞源于存在缓冲区溢出漏洞,会导致拒绝服务或任意代码执行。
二、风险等级:
高危
三、影响范围:
DPDK
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://git.dpdk.org/dpdk-stable/commit/?id=fdf13ea6fede07538fbe5e2a46fa6d4b2368fa81
页:
[1]