找回密码
 注册创意安天

漏洞风险提示(20211202)

[复制链接]
发表于 2021-12-1 22:49 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Xylem Aanderaa GeoView SQL注入漏洞(CVE-2021-41063)
一、漏洞描述:
        709.jpg
        Aanderaa GeoView是一个基于web的环境数据显示解决方案。GeoView是Aanderaa实时解决方案的一部分。
        该漏洞可能允许未经身份验证的攻击者调用查询来操纵 Aanderaa GeoView 数据库服务器。

二、风险等级:
          高危
三、影响范围:
        Xylem Aanderaa GeoView < 2.1.3
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://us-cert.cisa.gov/ics/advisories/icsa-21-334-01



2 HP LaserJet Managed缓冲区错误漏洞(CVE-2021-39238)
一、漏洞描述:
        4y9.png
        HP LaserJet Managed是美国惠普(HP)公司的一款多功能打印机。
        HP LaserJet Managed 存在缓冲区错误漏洞,该漏洞源于某些 HP Enterprise LaserJet、HP LaserJet Managed、HP Enterprise PageWide、HP PageWide Managed 产品可能容易受到潜在缓冲区溢出的影响。

二、风险等级:
          高危
三、影响范围:
        具体受影响型号及固件更新详见参考链接中的HP安全公告
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://support.hp.com/us-en/document/ish_5000383-5000409-16



3 HP LaserJet Managed信息泄露漏洞(CVE-2021-39237)
一、漏洞描述:
        4y9.png
        HP LaserJet Managed是美国惠普(HP)公司的一款多功能打印机。
        HP 多款产品存在信息泄露漏洞,该漏洞源于某些 HP LaserJet、HP LaserJet Managed、HP PageWide 和 HP PageWide Managed 打印机可能容易受到潜在信息泄露的影响。

二、风险等级:
          高危
三、影响范围:
        具体受影响型号及固件更新详见参考链接中的HP安全公告
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://support.hp.com/us-en/document/ish_5000124-5000148-16



4 Panda Security Free Antivirus本地提权漏洞(CVE-2021-34998)
一、漏洞描述:
        137.jpg
        Panda Free Antivirus(熊猫免费云杀毒)是Panda Security推出的全球首款使用云技术的杀毒软件。
        此漏洞允许本地攻击者提升 Panda Security Free Antivirus 受影响安装的权限。攻击者必须首先获得在目标系统上执行低特权代码的能力才能利用此漏洞。该问题是由允许不受信任的进程模拟管道的客户端造成的。攻击者可以利用此漏洞在SYSTEM上下文中提升权限并执行任意代码。

二、风险等级:
          高危
三、影响范围:
        Panda Free Antivirus-Panda Security < 20.02.00
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.pandasecurity.com/en/support/card?id=100077



5 VMware Spring AMQP拒绝服务漏洞(CVE-2021-22095)
一、漏洞描述:
        157.jpg
        Spring AMQP 是基于Spring框架的AMQP消息解决方案,提供模板化的发送和接收消息的抽象层,提供基于消息驱动的POJO的消息监听等。
        该漏洞是由于在Spring AMQP Message对象的toString()方法中,将从消息体创建一个新的String对象,而不管它的大小。这可能会导致带有较大消息体的OOM错误。

二、风险等级:
          中危
三、影响范围:
        Spring AMQP
        2.2.0 <= Spring AMQP <= 2.2.19
        2.3.0 <= Spring AMQP <= 2.3.11

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://tanzu.vmware.com/security/cve-2021-22095
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 14:50

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表