设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 安全预警 漏洞风险提示(20220422)
返回列表 发新帖

漏洞风险提示(20220422)

[复制链接]
发表于 2022-4-22 09:42 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Atlassian Jira身份验证绕过漏洞(CVE-2022-0540)
一、漏洞描述:     
        Atlassian Jira.png
        JIRA是Atlassian公司出品的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
        该漏洞为Jira 和 Jira Service Management 容易受到其 Web 身份验证框架 Jira Seraph 中的身份验证绕过的攻击。未经身份验证的远程攻击者可以通过发送特制的 HTTP 请求来利用此漏洞,以使用受影响的配置绕过 WebWork 操作中的身份验证和授权要求。
二、风险等级:
           高危
三、影响范围:
        Jira:
        Jira所有版本 < 8.13.18
        Jira 8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x
        Jira 8.20.x < 8.20.6
        Jira 8.21.x

        Jira Service Management:
        Jira Service Management所有版本 < 4.13.18
        Jira Service Management 4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x
        Jira Service Management 4.20.x < 4.20.6
        Jira Service Management 4.21.x
四、修复建议:
        当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
        https://www.atlassian.com/software/jira/update

2 Spring Security OAuth拒绝服务漏洞(CVE-2022-22969)
一、漏洞描述:     
        spring security.png
        OAuth (开放授权)是一个开放标准,允许用户授权第三方应用以便访问他们存储在其他服务提供者上的信息,而不需要用户将用户名和密码提供给第三方应用或分享用户数据的所有内容。
        受影响的Spring Security OAuth容易通过在OAuth 2.0 客户端应用程序中启动授权请求而受到拒绝服务 (DoS) 攻击。恶意用户或攻击者可以发送多个请求来启动授权代码授予的授权请求,这有可能使用单个会话耗尽系统资源。此漏洞仅暴露 OAuth 2.0 客户端应用程序。
二、风险等级:
           高危
三、影响范围:
        Spring Security OAuth 2.5.x < 2.5.2,Spring Security OAuth < 2.5
四、修复建议:
        当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
        https://github.com/spring-projects/spring-security-oauth

3 Apache APISIX信息泄露漏洞(CVE-2022-29266)
一、漏洞描述:     
        apisix.png
        Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。
        攻击者可以通过向受jwt-auth 插件保护的路由发送不正确的 JSON Web Token,通过错误消息响应获取插件配置的敏感信息。依赖库lua-resty-jwt中的错误逻辑允许将RS256令牌发送到需要HS256令牌的端点,错误响应中包含原始密钥值。
二、风险等级:
           高危
三、影响范围:
        Apache APISIX < 3.13.1
四、修复建议:
        当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
        https://apisix.apache.org/zh/downloads/

4 Cisco Umbrella Virtual Appliance Static SSH主机密钥漏洞(CVE-2022-20773)
一、漏洞描述:     
        Cisco.png
        Cisco Umbrella是美国思科(Cisco)公司的一套云安全平台。该平台能够预防网络钓鱼、恶意软件和勒索软件等网络威胁。
        此漏洞是由于存在静态SSH主机密钥。攻击者可以通过对与Umbrella VA的 SSH 连接执行中间人攻击来利用此漏洞。成功的利用可能允许攻击者了解管理员凭据、更改配置或重新加载VA。
二、风险等级:
           高危
三、影响范围:
        3.2 及之前版本和 3.3 版本
四、修复建议:
        当前官方已发布升级补丁以修复漏洞,详情请关注厂商主页:
        https://tools.cisco.com/security ... static-key-6RQTRs4c
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-10-18 14:23

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表