找回密码
 注册创意安天

漏洞风险提示(20231030)

[复制链接]
发表于 2023-10-30 09:16 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 VMware vCenter Server 信息泄露漏洞 (CVE-2023-34056)
一、漏洞描述:
        vmware.jpg
        VMware vCenter Server 是一款高级服务器管理软件,提供了一个集中式平台来控制您的 VMware vSphere 环境,使您可以充满信心地在整个混合云中自动部署并交付虚拟基础架构。
        VMware vCenter Server 存在信息泄露漏洞。具有 vCenter Server 用户权限的恶意行为者可能会利用该漏洞访问未经授权的数据。

二、风险等级:
        高危
三、影响范围:
        VMware vCenter Server 8.0 < 8.0U2
        VMware vCenter Server 7.0 < 7.0U3o
        VMware Cloud Foundation (VMware vCenter Server) 5.x
        VMware Cloud Foundation (VMware vCenter Server) 4.x

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.vmware.com/security/advisories/VMSA-2023-0023.html


2 Ingress-nginx permanent-redirect 代码注入漏洞(CVE-2023-5044)
一、漏洞描述:
        ngnix.jpg
        Ingress-nginx 是一个Kubernetes的Ingress控制器,使用NGINX作为反向代理和负载均衡器。
        Ingress-nginx 在 1.9.0 版本之前存在代码注入漏洞。其中 Ingress 对象在 nginx.ingress.kubernetes.io/permanent-redirect 注释可能会被修改,被用于注入任意命令,并获取 ingress-nginx 控制器的凭证。在默认配置中,该凭证可以访问集群中的所以资源。

二、风险等级:
        高危
三、影响范围:
        1.2.0 <= Ingress-nginx < 1.9.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/kubernetes/ingress-nginx/releases


3 F5 BIG-IP 远程代码执行漏洞(CVE-2023-46747)
一、漏洞描述:
        F5.jpg
        F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。
        F5 BIG-IP 存在远程代码执行漏洞。未经身份验证的攻击者可能会绕过配置实用程序身份验证,通过管理端口和/或自身 IP 地址网络访问 BIG-IP 系统,从而执行任意系统命令。

二、风险等级:
        高危
三、影响范围:
        F5 BIG-IP 17.1.0
        16.1.0 <= F5 BIG-IP <= 16.1.4
        15.1.0 <= F5 BIG-IP <= 15.1.10
        14.1.0 <= F5 BIG-IP <= 14.1.5
        13.1.0 <= F5 BIG-IP <= 13.1.5

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://my.f5.com/manage/s/article/K000137353


4 GeoServer WMS动态样式 服务器端请求伪造漏洞(CVE-2023-41339)
一、漏洞描述:
        geoserver.jpg
        Geoserver是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。
        Geoserver 在 2.22.5 和 2.23.2 之前存在服务器端请求伪造漏洞。WMS规范中存在""sld=""参数用于加载用户提供的动态样式。当未配置URL检查的情况下启用动态样式,攻击者可以利用该功能进行SSRF,窃取用户的NetNTLMv2哈希值。

二、风险等级:
        高危
三、影响范围:
        Geoserver < 2.22.5
        Geoserver < 2.23.2

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/geoserver/geoserver/releases

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 10:58

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表