找回密码
 注册创意安天

漏洞风险提示(20231221)

[复制链接]
发表于 2023-12-21 09:21 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 OpenSSH 命令注入漏洞(CVE-2023-51385)
一、漏洞描述:
        openssh.jpg
        OpenSSH 是使用 SSH 协议进行远程登录的首要连接工具。它对所有流量进行加密,防止窃听、连接劫持和其他攻击。
        OpenSSH 在 9.6 版本之前 的 ssh 中存在命令注入漏洞。如果用户名或主机名带有 shell 元组符,而在某些情况下该名称被扩展标记引用,则可能发生操作系统命令注入。

二、风险等级:
        高危
三、影响范围:
        OpenSSH < 9.6
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.openssh.com/


2 Apache Guacamole整数溢出漏洞(CVE-2023-43826)
一、漏洞描述:
        Apache guacamole.jpg
        Apache Guacamole是一个无客户端的远程桌面网关,它支持众多标准管理协议,如 VNC、RDP、SSH 等。
        Apache Guacamole 1.5.3及之前版本不能正确处理从VNC Server接收的特制数据,在处理VNC图像缓冲区时可能出现整数溢出。如果用户连接到恶意或受感染的VNC Server,特制数据可能会导致内存损坏,并可能导致以正在运行的 guacd 进程的权限执行任意代码。

二、风险等级:
        高危
三、影响范围:
        Apache Guacamole 版本<= 1.5.3
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://guacamole.apache.org/releases/


3 Apache Superset where_in JINJA SQL注入漏洞(CVE-2023-49736)
一、漏洞描述:
        apache superset.jpg
        Apache Superset 是一个现代的、企业级的数据可视化和数据探索的网络应用程序。它可以连接多种数据源,提供各种图表选项,让不同技能水平的用户都能轻松地分析和呈现数据。
        Apache Superset 在 2.1.2 和 3.0.2 版本之前存在SQL注入漏洞。Apache Superset 中存在一个 where_in JINJA 宏允许用户指定一个引号,利用该引号与特制的语句相结合可以进行SQL注入,导致数据库敏感信息泄露。

二、风险等级:
        高危
三、影响范围:
        Apache Superset < 2.1.2
        3.0.0 <= Apache Superset < 3.0.2

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/apache/superset/releases


4 Hugging Face Transformers 代码问题漏洞(CVE-2023-6730)
一、漏洞描述:
        Hugging Face.jpg
        Hugging Face Transformers是为 Jax、PyTorch 和 TensorFlow 打造的先进的自然语言处理。
        Hugging Face Transformers 4.36之前版本存在代码问题漏洞,该漏洞源于存在不受信任的数据反序列化。

二、风险等级:
        高危
三、影响范围:
        Hugging Face Transformers < 4.36
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/huggingface/transformers/releases/tag/v4.36.2

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 08:56

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表