漏洞风险提示(20250117)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Rsync缓冲区溢出与信息泄露漏洞(CVE-2024-12084/CVE-2024-12085)
一、漏洞描述:
Rsync是一个功能强大的文件同步工具,主要用于在本地或网络中的不同位置高效地复制和同步文件和目录,广泛应用 于备份、镜像站点管理以及远程文件同步。CVE-2024-12084:Rsync守护进程中存在堆缓冲区溢出漏洞,由于对用户控制的校验和长度 (s2length) 处理不当,当Rsyncd默认配置允许匿名文件同步时,攻击者可通过构造恶意的s2length值将数据写入内存中超出分配范围的区 域,从而实现远程代码执行。CVE-2024-12085:Rsync守护进程存在内存缓冲区范围内操作的限制不当问题,由于未正确初始化内存,当Rsync比较文件校验和时攻击者可通过特定操作读取未初始化的内存数据,造成信息泄露。
二、风险等级:
高
三、影响范围:
Rsync <= 3.3.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://rsync.samba.org/download.html
2 IBM Db2 for Linux、UNIX和Windows拒绝服务漏洞(CVE-2024-45663)
一、漏洞描述:
IBM Db2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统,执行环境主要有UNIX、Linux、IBMi、z/OS以 及Windows服务器版本。IBM Db2 11.1版本、11.5版本、12.1版本存在拒绝服务漏洞,攻击者可利用该漏洞通过特制的查询导致服务器崩 溃。
二、风险等级:
高
三、影响范围:
IBM DB2 for Linux, UNIX and Windows 12.1
IBM DB2 for Linux, UNIX and Windows 11.5
IBM DB2 for Linux, UNIX and Windows 11.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/7175943
3 Adobe InDesign Desktop越界读取漏洞(CVE-2024-49529)
一、漏洞描述:
Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。Adobe InDesign 19.0及之前版本和20.0及之前版本存在越界读取漏洞,攻击者可利用该漏洞绕过ASLR等缓解措施并泄露敏感内存。
二、风险等级:
高
三、影响范围:
Adobe InDesign Desktop <= 20.0
Adobe InDesign Desktop <= 19.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://helpx.adobe.com/security/products/indesign/apsb24-91.html
4 Broadcom Fabric OS命令注入漏洞(CVE-2024-7517)
一、漏洞描述:
Broadcom Fabric OS(FOS)是美国博通(Broadcom)公司的一套使用在交换机和路由器等设备中的嵌入式操作系统。Broadcom Fabric OS 9.2.0c之前版本和9.2.1至9.2.1a版本存在命令注入漏洞,经过身份认证的本地攻击者可利用该漏洞通过使用特制的portcfg命令提升权限。
二、风险等级:
高
三、影响范围:
Broadcom Fabric OS >= 9.2.1 <= 9.2.1a
Broadcom Fabric OS < 9.2.0c
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25071
页:
[1]