找回密码
 注册创意安天

漏洞风险提示(20240131)

[复制链接]
发表于 2024-1-31 09:15 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Apache Kylin 信息泄露漏洞 (CVE-2023-29055)
一、漏洞描述:
        apache kylin.jpg
        Apache Kylin™是一个开源的、分布式的分析型数据仓库,提供Hadoop/Spark 之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由 eBay 开发并贡献至开源社区。
        在 Apache Kylin 版本 2.0.0 到 4.0.3 中,有一个服务器配置 Web 界面,显示文件“kylin.properties”的内容,该文件可能包含服务器端凭据,由于可访问 kylin.properties 的内容以及可能包含的服务器凭证,造成敏感信息泄露。

二、风险等级:
        高危
三、影响范围:
        2.0.0 <= Apache Kylin <= 4.0.3
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/apache/kylin/tags


2 Juniper Networks Junos OS 跨站脚本漏洞(CVE-2024-21620)
一、漏洞描述:
        juniper.jpg
        Juniper Networks Junos OS是美国瞻博网络(Juniper Networks)公司的一套专用于该公司的硬件设备的网络操作系统。该操作系统提供了安全编程接口和Junos SDK。
        Juniper Networks Junos OS 存在安全漏洞,该漏洞源于允许攻击者构建一个 URL,当其他用户访问该 URL 时,该 URL 将使攻击者以目标权限执行命令。

二、风险等级:
        高危
三、影响范围:
        Juniper Networks Junos OS < 20.4R3-S9
        Juniper Networks Junos OS < 21.2R3-S7
        Juniper Networks Junos OS < 21.3R3-S5
        Juniper Networks Junos OS < 21.4R3-S6

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://supportportal.juniper.net/JSA76390


3 aiohttp 路径遍历漏洞(CVE-2024-23334)
一、漏洞描述:
        aiohttp.jpg
        aiohttp是一个开源的用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。
        aiohttp 3.9.2之前版本存在路径遍历漏洞,该漏洞源于当follow_symlinks设置为 True 时,不会进行检查读取的文件是否位于根目录内,这可能会导致目录遍历漏洞。

二、风险等级:
        高危
三、影响范围:
        aiohttp < 3.9.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/aio-libs/aioh ... GHSA-5h86-8mv2-jq9f


4 aiohttp 环境问题漏洞(CVE-2024-23829)
一、漏洞描述:
        aiohttp.jpg
        aiohttp是一个开源的用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。
        aiohttp 3.9.2之前版本存在环境问题漏洞,该漏洞源于HTTP 解析器对于分隔符处理过于宽松,有助于请求走私。

二、风险等级:
        高危
三、影响范围:
        aiohttp < 3.9.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/aio-libs/aioh ... GHSA-8qpw-xqxj-h4r2

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 06:59

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表