找回密码
 注册创意安天

漏洞风险提示(20231120)

[复制链接]
发表于 2023-11-20 09:25 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Wireshark 缓冲区溢出漏洞(CVE-2023-6175)
一、漏洞描述:
        wireshark.jpg
        Wireshark(前称Ethereal)是导线鲨鱼(Wireshark)团队的一套网络数据包分析软件。该软件的功能是截取网络数据包,并显示出详细的数据以供分析。Wireshark存在安全漏洞,该漏洞源于NetScreen文件解析器存在缓冲区溢出漏洞。
二、风险等级:
        高危
三、影响范围:
        Wireshark3.6.0-3.6.x版本
        Wireshark 4.0.0-4.0.x版本

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.wireshark.org/download.html


2 Apache Hadoop YARN Secure Containers权限提升漏洞(CVE-2023-26031)
一、漏洞描述:
        Apache Hadoop.jpg
        Apache Hadoop 是一个开源软件框架,通过使用简单的编程模型,高度可靠地对大型数据集进行分布式处理。
        安全集群中的 YARN 容器使用操作系统设施为容器提供执行隔离,Secure Containers(安全容器)仅在安全的 YARN 集群环境中工作。Apache Hadoop Linux 安全容器执行器是LinuxContainerExecutor,它使用名为 container-executor 的外部程序来启动容器,该程序设置了 setuid 访问权限标志,允许以 YARN 应用程序用户的权限启动容器。补丁(YARN-10495,使container-executor的 rpath 可配置)修改了加载 .so 文件的库加载路径,从$ORIGIN/改为$ORIGIN/:../lib/native/。这是 libcrypto.so 所在的路径,低权限用户可以将恶意 libcrypto 库安装到具有写访问权限的路径中,调用container-executor命令,并以 root 身份执行修改后的库。如果经过身份验证的远程用户可以向YARN 集群提交作业(在物理主机而不是容器中执行),也可利用该漏洞获得 root 权限。

二、风险等级:
        高危
三、影响范围:
        Apache Hadoop 版本3.3.1 - 3.3.4
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://hadoop.apache.org/releases.html


3 金蝶云星空任意文件上传漏洞(VUL-2023-14544)
一、漏洞描述:
        金蝶云星空.jpg
        金蝶云星空是由金蝶国际软件集团开发的一款企业级云平台。
        攻击者可在无需登录的情况下利用此漏洞上传上传Webshell文件,远程执行恶意命令,控制服务器。

二、风险等级:
        高危
三、影响范围:
         6.2 <= 金蝶云星空金蝶云星空 <= 8.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://vip.kingdee.com/article/ ... 1&isKnowledge=2


4 Adobe Acrobat Reader 资源管理错误漏洞(CVE-2023-44336)
一、漏洞描述:
        Adobe Acrobat.jpg
        Adobe Acrobat Reader是美国奥多比(Adobe)公司的一款PDF查看器。该软件用于打印,签名和注释 PDF。
        Adobe Acrobat Reader 2023.001.20174版本存在资源管理错误漏洞,该漏洞源于Thermometer Javascript 对象中存在释放后重用,通过特别构建的 javascript 代码可利用该漏洞,从而导致内存损坏和任意代码执行。

二、风险等级:
        高危
三、影响范围:
        Adobe Acrobat Reader 2023.001.20174
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://acrobat.adobe.com/us/en/acrobat/pdf-reader.html

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 12:00

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表