找回密码
 注册创意安天

漏洞风险提示(20211126)

[复制链接]
发表于 2021-11-25 20:34 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 VMware vCenter Server任意文件读取漏洞(CVE-2021-21980)
一、漏洞描述:
        w1o.png
        VMware vCenter Server是美国威睿(Vmware)公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台,可自动实施和交付虚拟基础架构。
        该漏洞存在于vSphere Web Client(FLEX/Flash)中,能够访问vCenter Server 上的 443 端口的攻击者可以利用此漏洞在未授权的情况下读取任意文件并获取敏感信息。

二、风险等级:
          高危
三、影响范围:
        VMware vCenter Server-VMware =6.7||=7.0||=6.5
        VMware Cloud Foundation-VMware =4.x||=3.x

四、修复建议:
        目前这些漏洞已经修复,建议及时升级更新到以下版本:
        vCenter Server 6.7 U3p
        下载链接:
        https://customerconnect.vmware.c ... =742&rPId=78421
        vCenter Server 6.5 U3r
        下载链接:
        https://customerconnect.vmware.c ... =614&rPId=74057
        注意:vCenter Server vSphere Web Client (FLEX/Flash)在vCenter Server 7.x中不可用,因此vCenter Server 7.x中不存在这些漏洞。此外,VMware暂未发布Cloud Foundation (vCenter Server) 3.x的补丁。



2 VMware vCenter Server SSRF漏洞(CVE-2021-22049)
一、漏洞描述:
        w1o.png
        VMware vCenter Server是美国威睿(Vmware)公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台,可自动实施和交付虚拟基础架构。
        可以通过网络访问 vCenter Server 上的端口 443 的恶意行为者可能会通过访问 vCenter Server 外部的 URL 请求或访问内部服务来利用此问题。

二、风险等级:
          中危
三、影响范围:
        VMware vCenter Server-VMware =6.7||=7.0||=6.5
        VMware Cloud Foundation-VMware =4.x||=3.x

四、修复建议:
        目前这些漏洞已经修复,建议及时升级更新到以下版本:
        vCenter Server 6.7 U3p
        下载链接:
        https://customerconnect.vmware.c ... =742&rPId=78421
        vCenter Server 6.5 U3r
        下载链接:
        https://customerconnect.vmware.c ... =614&rPId=74057
        注意:vCenter Server vSphere Web Client (FLEX/Flash)在vCenter Server 7.x中不可用,因此vCenter Server 7.x中不存在这些漏洞。此外,VMware暂未发布Cloud Foundation (vCenter Server) 3.x的补丁。



3 Oracle VM VirtualBox输入验证错误漏洞(CVE-2021-2442)
一、漏洞描述:
       
        Oracle VM VirtualBox是美国甲骨文(Oracle)公司的一款虚拟机管理软件。
        Oracle VM VirtualBox 存在输入验证错误漏洞,该漏洞源于Oracle VM VirtualBox的Core组件内输入验证不当。本地特权用户可以利用这个漏洞使整个系统崩溃。

二、风险等级:
          中危
三、影响范围:
        Oracle VM VirtualBox: 6.1.0、6.1.2、6.1.4、6.1.6、6.1.8、6.1.10、6.1.12、6.1.14、6.1.16、6.1.18、6.1.20、6.1.22
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.oracle.com/security-alerts/cpujul2021.html



4 Oracle VM VirtualBox整数溢出权限提升漏洞(CVE-2021-2145)
一、漏洞描述:
       
        Oracle VM VirtualBox是美国甲骨文(Oracle)公司的一款虚拟机管理软件。
        Oracle VM VirtualBox 存在输入验证错误漏洞,该漏洞源于Oracle VM VirtualBox核心组件的输入验证不正确。

二、风险等级:
          中危
三、影响范围:
        Oracle VM VirtualBox: 6.1.0, 6.1.2, 6.1.4, 6.1.6, 6.1.8, 6.1.10, 6.1.12, 6.1.14, 6.1.16, 6.1.18
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.oracle.com/security-alerts/cpuapr2021.html



4 Oracle VM VirtualBox堆缓冲区溢出权限提升漏洞(CVE-2021-2310)
一、漏洞描述:
       
        Oracle VM VirtualBox是美国甲骨文(Oracle)公司的一款虚拟机管理软件。
        Oracle VM VirtualBox 存在输入验证错误漏洞,该漏洞源于Oracle VM VirtualBox核心组件的输入验证不正确。

二、风险等级:
          中危
三、影响范围:
        Oracle VM VirtualBox: 6.1.0, 6.1.2, 6.1.4, 6.1.6, 6.1.8, 6.1.10, 6.1.12, 6.1.14, 6.1.16, 6.1.18
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.oracle.com/security-alerts/cpuapr2021.html



5 Apache JSPWiki跨站脚本漏洞(CVE-2021-40369)
一、漏洞描述:
        609.jpg
        Apache JSPWiki是美国阿帕奇(Apache)基金会的一款基于Java、Servlet和JSP构建的开源WikiWiki引擎。
        一个精心设计的插件链接调用可能会引发在Apache了JSPWiki XSS漏洞,涉及到Denounce插件,这可能允许攻击者在受害者的浏览器上执行JavaScript和获取有关被害人的一些敏感信息。

二、风险等级:
          中危
三、影响范围:
        Apache JSPWiki <2.11.0.M8
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://lists.apache.org/thread/r2j00nrnpjgcmoxvlv3pgfoq9kzrcsfh


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 15:01

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表