漏洞风险提示(20221216)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Tenda AC1206 setSchedWifi函数sched_end_time缓冲区溢出漏洞(CVE-2022-42081)
一、漏洞描述:
AC1206是一款WAN口和LAN口均采用千兆端口设计的高性能路由器。
Tenda AC1206固件US_AC1206V1.0RTL_V15.03.06.23_multi_TD01版本存在缓冲区溢出漏洞,该漏洞源于/bin/httpd文件中/goform/openSchedWifi中setSchedWifi函数sched_end_time参数缺乏对于输入数据的长度验证,攻击者可利用漏洞导致拒绝服务。
二、风险等级:
高危
三、影响范围:
Tenda Tenda AC1206 US_AC1206V1.0RTL_V15.03.06.23_multi_TD01
四、修复建议:
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://www.tenda.com.cn/default.html
2 IBM Sterling Secure Proxy弱加密漏洞(CVE-2022-34361)
一、漏洞描述:
IBM Sterling Secure Proxy是美国国际商业机器(IBM)公司的一个用于确保组织非保护区(DMZ)中文件安全传输的应用程序代理。
IBM Sterling Secure Proxy 6.0.3版本存在弱加密漏洞,该漏洞源于使用比预期更弱的加密算法,攻击者利用该漏洞解密高度敏感的信息。
二、风险等级:
高危
三、影响范围:
IBM Sterling Secure Proxy 6.0.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6844763
3 Oracle Enterprise Data Quality信息泄露漏洞(CVE-2022-21615)
一、漏洞描述:
Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。
Oracle Fusion Middleware的Oracle Enterprise Data Quality 12.2.1.3.0和12.2.1.4.0版本的Dashboard组件存在信息泄露漏洞。攻击者可利用该漏洞通过HTTP访问网络,从而破坏Oracle Enterprise Data Quality,对Oracle Enterprise Data Quality的关键数据和所有可访问数据进行未授权访问。
二、风险等级:
高危
三、影响范围:
Oracle Enterprise Data Quality 12.2.1.4.0
Oracle Enterprise Data Quality 12.2.1.3.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpuoct2022.html
4 Google Chrome Peer Connection内存错误引用漏洞(CVE-2022-3450)
一、漏洞描述:
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome 106.0.5249.119之前版本存在内存错误引用漏洞。该漏洞源于Peer Connection释放后使用,远程攻击者可利用漏洞通过构建的HTML页面利用堆损坏发起攻击。
二、风险等级:
高危
三、影响范围:
Google Chrome <106.0.5249.119
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://chromereleases.googleblog.com/
页:
[1]