找回密码
 注册创意安天

漏洞风险提示(20240202)

[复制链接]
发表于 2024-2-2 09:30 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Ivanti Connect Secure 服务器端请求伪造漏洞(CVE-2024-21893)
一、漏洞描述:
        ivanti.jpg
        Ivanti Connect Secure 是一款远程访问和零信任安全解决方案,它提供了 SSL VPN 功能,使远程和移动用户能够安全地访问企业资源。
        近日,Ivanti 发布安全公告,修复了Ivanti Connect Secure(9.x、22.x)、Ivanti Policy Secure(9.x、22.x)和 Ivanti Neurons for ZTA 的 SAML 组件中存在一个服务器端请求伪造漏洞,成功的利用该漏洞可以使未授权攻击者能够访问某些受限资源,该漏洞可能存在在野利用。

二、风险等级:
        高危
三、影响范围:
        Ivanti Neurons for ZTA<22.6R1.3
        9.0<=Ivanti Connect Secure<9.1R14.4
        9.0<=Ivanti Connect Secure<9.1R17.2
        9.0<=Ivanti Connect Secure<9.1R18.3
        22.0<=Ivanti Connect Secure<22.4R2.2
        22.0<=Ivanti Connect Secure<22.5R1.1
        9.0<=Ivanti Policy Secure<10.0
        22.0<=Ivanti Policy Secure<23.0

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://forums.ivanti.com/s/product-downloads?language=en_US


2 runc容器逃逸漏洞(CVE-2024-21626)
一、漏洞描述:
        runc.jpg
        runc是一个根据OCI规范,在Linux上生成和运行容器的命令行工具。runc的使用非常灵活,可以与各种容器工具和平台集成,如Docker、Kubernetes等。
        它支持多种容器格式,包括OCI规范定义的标准格式,以及其他格式如Docker镜像格式。作为开源项目,runc受到全球开发者社区的广泛参与和贡献,被广泛应用于生产环境中的容器化部署。

二、风险等级:
        高危
三、影响范围:
        v1.0.0-rc93 <= runc <= 1.1.11
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/opencontainers/runc/releases/tag/v1.1.12


3 Apache ServiceComb Service-Center SSRF漏洞(CVE-2023-44313)
一、漏洞描述:
        ServiceComb.jpg
        Apache ServiceComb Service-Center是Apache基金会的 一个基于 Restful 的服务注册中心,提供微服务发现和微服务管理。
        在 ServiceComb Service-Center 中的 frontend 组件的契约测试功能存在SSRF漏洞,由于没有验证请求的 X-InstanceIP 请求头,未授权攻击者可以向 /testSchema/ 路由发送恶意的请求进行内网探测。

二、风险等级:
        高危
三、影响范围:
        Apache ServiceComb Service-Center < 2.2.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/apache/servicecomb-service-center/releases


4 MinIO 权限提升漏洞(CVE-2024-24747)
一、漏洞描述:
        MinIO.jpg
        MinIO 是一个基于Apache License v2.0开源协议的对象存储服务。 它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。
        MinIO中存在一处权限提升漏洞,该漏洞主要是由于用户可以自己修改自己访问密钥的访问权限策略,这可能会导致低权限用户可以越权访问本无权访问的资源。

二、风险等级:
        高危
三、影响范围:
        Minio<RELEASE.2024-01-31T20-20-33Z
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/minio/minio/releases

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 06:49

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表