免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Zoom 多款产品安全漏洞
一、漏洞描述:
ZOOM Zoom Call Recording等都是美国Zoom(ZOOM)公司的产品。Zoom Call Recording是一套可扩展的会话记录管理解决方案。ZOOM on-premise Meeting Connector是一款会议连接器。Zoom On Premise Meeting Connector Controller等都是美国Zoom公司的产品。Zoom On Premise Meeting Connector Controller是一个内部部署的会议连接器。
Zoom 多款产品存在安全漏洞,该漏洞源于无法验证请求中发送的设置网络代理密码的输入。 这可能会导致 Web 门户管理员进行远程命令注入。
二、风险等级:
高危
三、影响范围:
Zoom On-Premise Meeting Connector Controller < 4.6.365.20210703
Zoom On-Premise Meeting Connector MMR < 4.6.365.20210703
Zoom On-Premise Recording Connector < 3.8.45.20210703
Zoom On-Premise Virtual Room Connector < 4.4.6868.20210703
Zoom On-Premise Virtual Room Connector Load Balancer < 2.5.5496.20210703
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://explore.zoom.us/en/trust/security/security-bulletin/
2 GoCD 多个安全漏洞
一、漏洞描述:
GoCD是一种广泛使用的开源工具,可自动执行软件的持续交付(CD),其维护人员已经解决了三个漏洞,如果将这些漏洞链接起来,可能会导致底层服务器被接管。SonarSource的Simon Scannell和Thomas Chauchefoin发现了这些漏洞,漏洞被跟踪为CVE-2021-43288、CVE-2021-43286和CVE-2021-43289。维护人员表示,成功利用这些漏洞的攻击者可以泄露知识产权、修改源代码、访问生产环境,并对CI/CD服务器生产的任何软件中部署后门。因此,攻击者可能发起供应链攻击。
二、风险等级:
高危
三、影响范围:
GoCD < v21.3.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://portswigger.net/daily-sw ... pply-chain-attacks/
3 AMDPowerProfiler.sys 不当访问控制漏洞(CVE-2021-26334)
一、漏洞描述:
AMD已经修复了Windows 10设备图形驱动程序中发现的一长串安全漏洞,允许攻击者在易受攻击的系统上执行任意代码并提升权限。AMD解释说:“在对AMD Escape调用的综合分析中,发现了几个API的一组潜在弱点,这可能导致权限提升、拒绝服务、信息泄露、KASLR绕过或对内核内存的任意写入。”该公司还解决了ESET Research在AMD μProf工具的AMDPowerProfiler.sys驱动程序中发现的不当访问控制漏洞(CVE-2021-26334)。
二、风险等级:
高危
三、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.bleepingcomputer.com ... iver-security-bugs/ |
发表于 2021-11-13 19:59