漏洞风险提示（20211222）

发表于 2021-12-22 09:41

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 Apache HTTP Server缓冲区溢出漏洞（CVE-2021-44790）
一、漏洞描述：

Apache HTTP Server是阿帕奇（Apache）基金会的一款开源网页服务器，可以在大多数电脑操作系统中运行，由于其具有的跨平台性和安全性，被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展，将Perl/Python等解释器编译到服务器中。
该漏洞的存在是由于在 mod_lua 中解析 multipart 内容时出现边界错误。远程攻击者可以向受影响的 Web 服务器发送特制的 HTTP 请求，触发缓冲区溢出并在目标系统上执行任意代码。
二、风险等级：
高危
三、影响范围：
Apache HTTP Server <= 2.4.51
四、修复建议：
官方已发布安全版本，请及时下载更新，下载地址：
https://httpd.apache.org/download.cgi#apache24

2 Apache HTTP Server SSRF漏洞（CVE-2021-44224）
一、漏洞描述：

Apache HTTP Server是阿帕奇（Apache）基金会的一款开源网页服务器，可以在大多数电脑操作系统中运行，由于其具有的跨平台性和安全性，被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展，将Perl/Python等解释器编译到服务器中。
该漏洞的存在是由于对前向代理配置中用户提供的输入的验证不足。远程攻击者可以发送特制的 HTTP 请求并欺骗 Web 服务器向任意系统发起请求或导致 NULL 指针取消引用错误并使 Web 服务器崩溃。成功利用此漏洞可能允许远程攻击者访问位于本地网络中的敏感数据或从易受攻击的系统向其他服务器发送恶意请求。
二、风险等级：
高危
三、影响范围：
Apache HTTP Server <= 2.4.51
四、修复建议：
官方已发布安全版本，请及时下载更新，下载地址：
https://httpd.apache.org/download.cgi#apache24

3 Mozilla Thunderbird逻辑问题漏洞（CVE-2021-4126）
一、漏洞描述：

Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。
当收到 OpenPGP/MIME 签名的包含额外 MIME 消息层的电子邮件消息时，例如邮件列表网关添加的消息页脚，Thunderbird 只考虑内部签名消息的签名有效性。这给人一种错误的印象，即附加内容也被数字签名所覆盖。
二、风险等级：
中危
三、影响范围：
Thunderbird < 91.4.1
四、修复建议：
厂商已发布更新修复漏洞，用户请尽快更新至安全版本Thunderbird 91.4.1，下载链接如下：
https://www.thunderbird.net/en-US/thunderbird/91.4.1/releasenotes/

4 Mozilla Thunderbird缓冲区溢出漏洞（CVE-2021-44538）
一、漏洞描述：

Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。
使用Matrix聊天协议的 Thunderbird 用户容易受到 libolm 缓冲区溢出的影响，攻击者可能会通过精心设计的消息序列触发。溢出内容部分由攻击者控制，仅限于 ASCII 空格和数字。
二、风险等级：
中危
三、影响范围：
Thunderbird < 91.4.1
四、修复建议：
厂商已发布更新修复漏洞，用户请尽快更新至安全版本Thunderbird 91.4.1，下载链接如下：
https://www.thunderbird.net/en-US/thunderbird/91.4.1/releasenotes/

		自动登录	找回密码
密码			注册创意安天