找回密码
 注册创意安天

漏洞风险提示(20220302)

[复制链接]
发表于 2022-3-2 09:24 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Mozilla VPN 代码问题漏洞(CVE-2022-0517)
一、漏洞描述:

         Mozilla VPN是美国Mozilla基金会的开源虚拟专用网络Web浏览器扩展,桌面应用程序和移动应用程序。
Mozilla VPN存在代码问题漏洞,该漏洞源于Mozilla VPN可以从不安全的目录加载OpenSSL配置文件。攻击者可利用该漏洞使用精心编制的OpenSSL配置文件以系统权限执行任意代码。

二、风险等级:
          高危
三、影响范围:
        Mozilla VPN < 2.7.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.mozilla.org/en-US/security/advisories/mfsa2022-08



2 Windows DNS服务器远程代码执行漏洞(CVE-2022-21984)
一、漏洞描述:

        该漏洞仅当启用动态更新(dynamic updates)时服务器才会受到影响,该配置非默认配置,默认状态下不受影响。但该配置是一种相对常用配置,部分服务器环境中可能使用该配置,如果使用,则攻击者可以完全接管您的 DNS 并以高权限执行任意代码。
二、风险等级:
          高危
三、影响范围:      
        Windows 11
        Server 2022
        Server, version 20H2
        Windows 10
四、修复建议:
   目前官方已发布更新补丁,受影响用户可下载安装更新。官方链接:
        https://msrc.microsoft.com/updat ... lity/CVE-2022-21984



3 Oracle Weblogic反序列化漏洞(CVE-2022-21350)
一、漏洞描述:

         Weblogic是由美国Oracle公司出品的一款基于JAVAEE架构的中间件,主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,在国内外应用十分广泛。
该漏洞是由于 Oracle WebLogic Server 的核心组件中存在输入验证问题,未经身份验证的恶意攻击者可以通过 T3协议来破坏Oracle WebLogic Server,从而导致对Oracle WebLogic服务器访问数据的未授权更新、插入或删除,以及导致 Oracle WebLogic Server 的拒绝服务(部分 DOS)。此外,该漏洞还可以使用类似CVE-2020-2555的利用方式,通过生成带有恶意命令的反序列化文件并利用T3协议发送至目标服务器,从而能够在目标服务器上执行任意命令。

二、风险等级:
          高危
三、影响范围:      
        WebLogic 12.1.3.0.0
        WebLogic 12.2.1.3.0
        WebLogic 12.2.1.4.0
        WebLogic 14.1.1.0.0            
四、修复建议:
        目前官方已发布更新补丁,受影响用户可下载安装更新。官方链接:
        https://www.oracle.com/security-alerts/cpujan2022.html



4  Oracle MySQL Connectors输入验证错误漏洞(CVE-2022-21363)
一、漏洞描述:
        
         Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。MySQL 提供标准数据库驱动程序连接,以便将 MySQL 与与行业标准 ODBC 和JDBC 兼容的应用程序和工具一起使用。任何使用 ODBC 或JDBC 的系统都可以使用 MySQL。标准化的数据库驱动程序Windows、Linux、Mac OS X 和 Unix 平台。用于 Java 平台和开发的标准化数据库驱动程序。用于 .NET 平台和开发的标准化数据库驱动程序。用于将 MySQL 服务器嵌入 Java 应用程序的 MBean。用于C++ 开发的标准化数据库驱动程序。用于 C 开发的客户端库Oracle MySQL Connectors (组件: Connector/J) 8.0.27及之前版本存在输入验证错误漏洞。攻击者可利用该漏洞通过多种协议进行网络访问,从而破坏Oracle MySQL Connectors,导致Oracle MySQL Connectors被接管。
二、风险等级:
          中危
三、影响范围:
        Oracle MySQL Connectors <= 8.0.27
四、修复建议:
        目前这些漏洞已经修复,建议受影响用户及时更新到最新版本,避免引发漏洞相关安全事件.官方链接:
        https://chromereleases.googleblo ... for-desktop_19.html

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 15:19

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表