漏洞风险提示（20240919)

发表于 2024-9-19 09:51

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 VMware vCenter Server堆溢出漏洞（CVE-2024-38812）
一、漏洞描述：

vCenter Server是VMware vSphere虚拟化架构的核心管理组件，为ESXI主机和虚拟机提供管理服务，通过vCenter Server可以集中管理多台ESXI主机和虚拟机。由于vCenter Server在DCE/RPC（分布式计算环境/远程过程调用）协议的实施过程中存在堆溢出漏洞，能够网络访问vCenter Server的威胁者可通过发送特制网络数据包来触发漏洞，成功利用可能导致远程代码执行。
二、风险等级：
高危
三、影响范围：
vCenter Server 8.0 < 8.0 U3b
vCenter Server 7.0 < 7.0 U3s
VMware Cloud Foundation 5.x < 8.0 U3b
VMware Cloud Foundation 4.x < 7.0 U3s
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://support.broadcom.com/web ... yAdvisories/0/24968

2 Docker Desktop远程代码执行漏洞（CVE-2024-8695）
一、漏洞描述：

Docker Desktop是一个专为开发者和系统管理员设计的桌面应用程序，支持在Windows和macOS操作系统上运行，它提供了一个集成且易于使用的环境，旨在简化Docker容器的安装、配置和管理过程。Docker Desktop允许用户通过安装扩展来增强其功能。Docker Desktop 4.34.2之前版本中，由于对扩展的描述或更改日志处理不当，导致威胁者可以通过在这些字段中注入恶意代码来触发远程代码执行。威胁者可通过诱导Docker Desktop用户下载并安装带有恶意描述/更改日志的扩展来利用该漏洞，从而在目标用户的机器上执行恶意代码。
二、风险等级：
高危
三、影响范围：
Docker Desktop < 4.34.2
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://docs.docker.com/desktop/release-notes/#4342

3 Apache Seata 代码问题漏洞（CVE-2024-22399）
一、漏洞描述：
Apache Seata.jpg

Apache Seata是美国阿帕奇（Apache）基金会的一款在微服务架构下提供高性能和简单易用的分布式事务服务的开源项目。Apache Seata 2.0.0版本和1.0.0版本至1.8.0版本存在代码问题漏洞，该漏洞源于包含不受信任数据反序列化漏洞。
二、风险等级：
高危
三、影响范围：
Apache Seata 2.0.0
Apache Seata 1.0.0 - 1.8.0
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://lists.apache.org/thread/91nzzlxyj4nmks85gbzwkkjtbmnmlkc4

4 Red Hat OpenShift Container Platform 路径穿越漏洞（CVE-2024-7387）
一、漏洞描述：

Red Hat OpenShift Container Platform.jpg

Red Hat OpenShift Container Platform是美国红帽（Red Hat）公司的一套可帮助企业在物理、虚拟和公共云基础架构之间开发、部署和管理现有基于容器的应用程序的应用平台。Red Hat OpenShift Container Platform 4存在安全漏洞，该漏洞源于openshift/builder允许通过路径穿越进行命令注入，恶意用户可以在运行构建器容器的OpenShift节点上执行任意命令。
二、风险等级：
高危
三、影响范围：
Red Hat OpenShift Container Platform 4
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://docs.openshift.com/conta ... ds-by-strategy.html

		自动登录	找回密码
密码			注册创意安天