找回密码
 注册创意安天

漏洞风险提示(20220110)

[复制链接]
发表于 2022-1-10 10:03 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Apache Kylin 代码问题漏洞(CVE-2021-27738)
一、漏洞描述:
          1.jpg
        Apache Kylin是美国阿帕奇(Apache)基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)等功能。
        Apache kylin 存在代码问题漏洞,该漏洞源于所有请求映射的StreamingCoordinatorController.java‘处理’麒麟api流协调员*’REST api端点不包括任何安全检查,允许任意请求未经过身份验证的用户问题,如分配unassigning流数据集,创建修改和删除副本集,给麒麟协调员对于在HTTP消息体中接受节点细节的端点,可以实现未经身份验证(但有限制)的服务器端请求伪造(SSRF)。

二、风险等级:
          高危
三、影响范围:
        Apache Kylin 3
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://lists.apache.org/thread/vkohh0to2vzwymyb2x13fszs3cs3vd70



2 Apache James 命令注入漏洞(CVE-2021-38542)
一、漏洞描述:
          1.jpg
        Apache James是美国阿帕奇(Apache)基金会的一个完全用 Java 编写的开源 Smtp 和 Pop3 邮件传输代理和 Nntp 新闻服务器。
        Apache James 3.6.1存在命令注入漏洞,攻击者可利用该漏洞执行中间人命令注入攻击,导致敏感信息泄漏。

二、风险等级:
          中危
三、影响范围:
        Apache James 3.6.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://seclists.org/oss-sec/2022/q1/3



3 多款Qualcomm产品代码问题漏洞(CVE-2021-30300)
一、漏洞描述:
        7f9d378c91326eee44f889d53cd5432c.jpeg
        Qualcomm MDM9206等都是美国高通(Qualcomm)公司的产品。MDM9206是一款中央处理器(CPU)产品。MDM9607是一款中央处理器(CPU)产品。MDM9640是一款中央处理器(CPU)产品。
        Qualcomm产品存在安全漏洞,该漏洞可能由于 SIB2 OTA 消息的十六进制数据解码错误并在处理 SRS 配置时为选择分配垃圾值而导致拒绝服务。

二、风险等级:
          中危
三、影响范围:
        APQ8009W、APQ8017、APQ8096AU、AR8035、CSRB31024、FSM10055、FSM108207、 MDM9150,MDM9205,MDM9206
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
        https://source.android.com/security/bulletin/pixel/2022-01-01



4 Google Chrome 安全特征问题漏洞(CVE-2022-0118)
一、漏洞描述:
          2.jpg
        Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Media是其中的一个多媒体组件。JavaScript是其中的一个JavaScript代码调试组件。cookies是其中的一个cookies插件。permissions是其中的一个权限组件。
        Google Chrome 中存在安全特征问题漏洞,该漏洞源于产品的WebShare实现错误导致的。远程攻击者可利用该漏洞可以创建一个特别设计的网页,欺骗受害者访问它并获得敏感信息。该漏洞允许远程攻击者可利用该漏洞访问敏感信息。

二、风险等级:
          中危
三、影响范围:
        Chrome < 97.0.4692.71
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.google.cn/chrome/


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 08:11

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表