免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache CouchDB远程代码执行漏洞(CVE-2022-24706)
一、漏洞描述:
CouchDB 是一个开源的面向文档的数据库管理系统,类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。CouchDB将数据存储为非关系性的JSON文档,这使得用户可以更容易地理解和使用CouchDB。
CouchDB 会打开一个随机网络端口,绑定到所有可用的接口以进行集群操作或runtime introspection,epmd本身在一个固定的端口上进行监听,但是其错误地暴露了CouchDB打开的随机端口。CouchDB包装之前为单节点和集群安装设置了一个默认的"cookie "值,该cookie用于验证Erlang 节点之间的任意通信。未经身份验证的恶意攻击者通过发送特制的恶意数据到CouchDB的特定接口,从而能够获得管理员权限,进行在目标服务器上执行任意代码。
二、风险等级:
高危
三、影响范围:
Apache CouchDB <= 3.2.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://couchdb.apache.org/
2 Apache Doris硬编码漏洞(CVE-2022-23942)
一、漏洞描述:
Apache Doris是一个现代化的MPP分析型数据库产品。仅需亚秒级响应时间即可获得查询结果,有效地支持实时数据分析。Apache Doris的分布式架构非常简洁,易于运维,并且可以支持10PB以上的超大数据集。
Apache Doris 在 1.0.0 之前使用硬编码的密钥和 IV 来初始化用于 ldap 密码的 cipher,这可能会导致信息泄露。
二、风险等级:
中危
三、影响范围:
Apache Doris < 1.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://doris.incubator.apache.org/downloads/downloads.html
3 Oracle Database Server输入验证错误漏洞(CVE-2022-21498)
一、漏洞描述:
Oracle Database Server是美国甲骨文(Oracle)公司的一套关系数据库管理系统。该数据库管理系统提供数据管理、分布式处理等功能。Java VM是其中的一个Java虚拟机组件。
Oracle Database Server 12.1.0.2、19c和21c的Java VM组件存在输入验证错误漏洞。攻击者可利用该漏洞通过多种协议访问网络危害Java VM,并对Java VM关键数据或所有数据进行未授权创建、删除或修改。
二、风险等级:
中危
三、影响范围:
Oracle Database Server 21c
Oracle Database Server 19c
Oracle Database Server 12.1.0.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpuapr2022.html
4 ASUS RT-AX88U路由器代码注入漏洞(CVE-2022-26674)
一、漏洞描述:
ASUS RT-AX88U是中国华硕(ASUS)公司的一款 4x4 双频无线路由器产品。
ASUS RT-AX88U 存在安全漏洞,该漏洞源于存在格式字符串漏洞,该漏洞允许未经身份验证的远程攻击者写入任意内存地址并执行远程任意代码执行、任意系统操作或中断服务。
二、风险等级:
高危
三、影响范围:
RT-AX88U firmware pre v3.0.0.4.386.4606
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.asus.com/Networking- ... g-Routers/RT-AX88U/ |