漏洞风险提示（20221128）

发表于 2022-11-28 09:39

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1Google TensorFlow缓冲区溢出漏洞（ CVE-2022-41907）
一、漏洞描述：
Google TensorFlow.jpg

Google TensorFlow是美国谷歌（Google）公司的一套用于机器学习的端到端开源平台。
      Google TensorFlow 存在缓冲区溢出漏洞，该漏洞源于 `tf.raw_ops.ResizeNearestNeighborGrad`对输入的数据缺乏长度大小验证，攻击者可利用该漏洞通过赋予一个大的siz会导致溢出问题。
二、风险等级：
   高危
三、影响范围：
Google TensorFlow <2.8.4
      Google TensorFlow >=2.9.0，<2.9.3
      Google TensorFlow >=2.10.0，<2.10.1
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/tensorflow/te ... GHSA-368v-7v32-52fx

2 Huawei EMUI和Magic UI信息泄露漏洞（CVE-2021-40040）
一、漏洞描述：

Huawei EMUI是一款基于Android开发的移动端操作系统。Huawei Magic UI是一个智能设备操作系统。
      Huawei EMUI和Magic UI存在信息泄露漏洞，该漏洞源于在HW_KEYMASTER模块中存在向任意地址写入数据的问题，攻击者可利用该漏洞影响机密性。
二、风险等级：
   高危
三、影响范围：
Huawei EMUI 10.0.0
      Huawei EMUI 10.1.0
      Huawei EMUI 10.1.1
      Huawei EMUI 11.0.0
      Huawei Magic UI 3.0.0
      Huawei Magic UI 3.1.0
      Huawei Magic UI 3.1.1
      Huawei Magic UI 4.0.0
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://consumer.huawei.com/en/support/bulletin/2022/8/

3 Huawei HarmonyOS HwChrService模块授权问题漏洞（CVE-2022-39010）
一、漏洞描述：

   Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。
      Huawei HarmonyOS存在授权问题漏洞，该漏洞源于HwChrService模块存在不当权限管理，攻击者可利用此漏洞导致三方应用获取用户网络信息。
二、风险等级：
   高危
三、影响范围：
Huawei HarmonyOS 2.0
      Huawei EMUI 12.0.0
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://device.harmonyos.com/cn/ ... 09-0000001392078921

4 XXL-JOB代码问题漏洞（CVE-2022-43183）
一、漏洞描述：

XXL-JOB是许雪里（XXL-JOB）社区的一款基于java语言的分布式任务调度平台。
XXL-JOB v2.3.1之前版本存在安全漏洞，该漏洞源于通过组件/admin/controller/JobLogController.java发现包含服务器端请求伪造（SSRF）。目前没有详细漏洞细节提供。
二、风险等级：
高危
三、影响范围：
XXL-JOB XXL-JOB <=2.3.1
四、修复建议：
目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：
https://www.xuxueli.com/xxl-job/

		自动登录	找回密码
密码			注册创意安天