免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Google Chrome 12月多个安全漏洞
一、漏洞描述:
Google Chrome浏览器是一个由 Google(谷歌) 公司开发的网页浏览器。
Google发布安全公告,修复了多个存在于Google Chrome中的漏洞。其中,高危漏洞15条,低危漏洞1条,漏洞详情如下:
二、风险等级:
高危
三、影响范围:
Google Chrome < 96.0.4664.93
四、修复建议:
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。可通过以下方式更新:
1、通过Chrome浏览器自带的更新服务升级:点击右上角菜单,选择“更新Google Chrome”。
2、访问https://www.google.com/chrome/下载最新版本的Chrome安装程序,覆盖安装即可。
2 Grafana任意文件读取漏洞(CVE-2021-43798)
一、漏洞描述:
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。
该漏洞源于Grafana 在获取公共插件资产的相关函数中对于路径参数的字符清理不当。攻击者可以通过将包含特殊目录遍历字符序列(../)的特制HTTP请求发送到受影响的设备来利用此漏洞。成功利用该漏洞的攻击者可以在目标设备上查看文件系统上的的任意文件。
二、风险等级:
高危
三、影响范围:
Grafana 8.x
四、修复建议:
1、限制同时含有plugins和grafana和../的路径访问
2、若非必要,请禁止Grafana 的公网访问。
3 Zoho ManageEngine Desktop Central MSP身份验证绕过漏洞(CVE-2021-44515)
一、漏洞描述:
Zoho 公司的ManageEngine Desktop Central 是一款管理平台,帮助管理员自动将补丁和软件部署到网络并进行远程调试。
该漏洞的存在是由于处理身份验证请求时出错。远程攻击者可以绕过身份验证过程并在 Desktop Central MSP服务器上执行任意代码。
二、风险等级:
高危
三、影响范围:
Zoho ManageEngine Desktop Central MSP
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.manageengine.com/desk ... urity-advisory.html
使用 Desktop Central 代理进行资产发现的ServiceDesk Plus 客户尽快将其安装更新到最新版本。
对于企业版:
对于内部版本 10.1.2127.17 及以下版本,升级到10.1.2127.18
对于内部版本 10.1.2128.1.0 到 107,升级到 137到10.1.2137.3
对于MSP:
对于版本 10.1.2127.17 及以下版本,升级到10.1.2127.18
对于版本 10.1.2128.0 到 10.1.2137.2,升级到10.1.2137.3
4 F5 BIG-IP TMUI目录遍历漏洞(CVE-2021-23043)
一、漏洞描述:
F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台,TMUI被称为配置实用程序F5BIG-IQ 是一款用于管理和协调 F5 安全与应用交付解决方案的智能框架。
经过身份验证的攻击者可以通过向 BIG-IP 配置实用程序发送精心设计的请求来利用此漏洞。若漏洞利用成功,攻击者可以访问 Web 根目录中的任意文件。
二、风险等级:
高危
三、影响范围:
16.0.0 <= BIG-IP <= 16.1.1
15.1.0 <= BIG-IP <= 15.1.4
14.1.0 <= BIG-IP <= 14.1.4
13.1.0 <= BIG-IP <= 13.1.4
12.1.0 <= BIG-IP <= 12.1.6
11.6.1 <= BIG-IP <= 11.6.5
四、修复建议:
官方已发布安全版本,请及时下载更新,下载具体操作请浏览官方指引:
https://support.f5.com/csp/article/K167 |
发表于 2021-12-8 08:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡