漏洞风险提示（20241220)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache Tomcat竞争条件远程代码执行漏洞（CVE-2024-50379）
一、漏洞描述：     
       
        Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。用于实现对Servlet和JavaServer Page（JSP）的支持。Apache Tomcat存在安全漏洞。攻击者利用该漏洞可以在不区分大小写的文件系统上远程执行代码。以下版本受到影响：11.0.0-M1版本和11.0.1版本、10.1.0-M1版本至10.1.33版本和9.0.0.M1版本至9.0.97版本。
二、风险等级：
        高危
三、影响范围：
        Apache Tomcat 11.0.0-M1 - 11.0.1
        Apache Tomcat 10.1.0-M1 - 10.1.33
        Apache Tomcat 9.0.0.M1 - 9.0.97  
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://tomcat.apache.org/index.html

---

2 Open Cluster Management 权限漏洞（CVE-2024-9779）
一、漏洞描述：     
       
        Open Cluster Management（OCM）是Open Cluster Management开源的一个社区驱动的项目。专注于 Kubernetes 应用程序的多集群和多云场景。Open Cluster Management存在安全漏洞，当用户有权访问包含 cluster-manager 或 klusterlet 部署的工作节点时，在 Open Cluster Management （OCM） 中发现一个缺陷。cluster-manager 部署使用同名 “cluster-manager” 的服务帐户，该帐户绑定到同样名为 “cluster-manager” 的 ClusterRole，其中包括创建 Pod 资源的权限。如果此部署在攻击者控制的节点上运行 Pod，攻击者可以通过创建和挂载目标服务帐户来控制整个集群，从而获取 cluster-manager 的 Token 并窃取任何服务帐户 Token。
二、风险等级：
        高危
三、影响范围：
        Open Cluster Management
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/open-cluster- ... eleases/tag/v0.13.0

---

3 Next.js 授权问题漏洞（CVE-2024-51479）
一、漏洞描述：     
       
        Next.js是Vercel开源的一个 React 框架。Next.js 14.2.15之前版本存在授权问题漏洞，该漏洞源于如果应用程序根据路径名在中间件中执行授权，则应用程序根目录下的页面可能会绕过此授权。
二、风险等级：
        高危
三、影响范围：
        Next.js < 14.2.15
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/vercel/next.js/releases/tag/v14.2.15

---

4 DPDK 缓冲区溢出漏洞（CVE-2024-11614）
一、漏洞描述：     
       
        DPDK是一款基于Linux平台的数据平面开发套件。该产品支持在多种CPU架构上执行数据包处理。DPDK存在安全漏洞，该漏洞源于存在缓冲区溢出漏洞，会导致拒绝服务或任意代码执行。
二、风险等级：
        高危
三、影响范围：
        DPDK
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://git.dpdk.org/dpdk-stable ... e2a46fa6d4b2368fa81