免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache Kylin 信息泄露漏洞 (CVE-2023-29055)
一、漏洞描述:
Apache Kylin™是一个开源的、分布式的分析型数据仓库,提供Hadoop/Spark 之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由 eBay 开发并贡献至开源社区。
在 Apache Kylin 版本 2.0.0 到 4.0.3 中,有一个服务器配置 Web 界面,显示文件“kylin.properties”的内容,该文件可能包含服务器端凭据,由于可访问 kylin.properties 的内容以及可能包含的服务器凭证,造成敏感信息泄露。
二、风险等级:
高危
三、影响范围:
2.0.0 <= Apache Kylin <= 4.0.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/kylin/tags
2 Juniper Networks Junos OS 跨站脚本漏洞(CVE-2024-21620)
一、漏洞描述:
Juniper Networks Junos OS是美国瞻博网络(Juniper Networks)公司的一套专用于该公司的硬件设备的网络操作系统。该操作系统提供了安全编程接口和Junos SDK。
Juniper Networks Junos OS 存在安全漏洞,该漏洞源于允许攻击者构建一个 URL,当其他用户访问该 URL 时,该 URL 将使攻击者以目标权限执行命令。
二、风险等级:
高危
三、影响范围:
Juniper Networks Junos OS < 20.4R3-S9
Juniper Networks Junos OS < 21.2R3-S7
Juniper Networks Junos OS < 21.3R3-S5
Juniper Networks Junos OS < 21.4R3-S6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://supportportal.juniper.net/JSA76390
3 aiohttp 路径遍历漏洞(CVE-2024-23334)
一、漏洞描述:
aiohttp是一个开源的用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。
aiohttp 3.9.2之前版本存在路径遍历漏洞,该漏洞源于当follow_symlinks设置为 True 时,不会进行检查读取的文件是否位于根目录内,这可能会导致目录遍历漏洞。
二、风险等级:
高危
三、影响范围:
aiohttp < 3.9.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/aio-libs/aioh ... GHSA-5h86-8mv2-jq9f
4 aiohttp 环境问题漏洞(CVE-2024-23829)
一、漏洞描述:
aiohttp是一个开源的用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。
aiohttp 3.9.2之前版本存在环境问题漏洞,该漏洞源于HTTP 解析器对于分隔符处理过于宽松,有助于请求走私。
二、风险等级:
高危
三、影响范围:
aiohttp < 3.9.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/aio-libs/aioh ... GHSA-8qpw-xqxj-h4r2
|