找回密码
 注册创意安天

漏洞风险提示(20211120)

[复制链接]
发表于 2021-11-20 09:44 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Apache Druid任意文件读取漏洞(CVE-2021-36749)
一、漏洞描述:
        520.png
        Apache Druid是美国阿帕奇(Apache)基金会的一款使用Java语言编写的、面向列的开源分布式数据库。
        Apache Druid存在任意文件读取漏洞,攻击者可通过将文件 URL传递给 HTTP InputSource 来绕过应用程序级别的限制。由于 Apache Druid 默认情况下缺乏授权认证,攻击者可构造恶意请求,在未授权情况下利用该漏洞读取任意文件,最终导致服务器敏感信息泄露。

二、风险等级:
          高危
三、影响范围:
        Apache Druid <= 0.21.1
四、修复建议:
        官方已发布安全版本(Apache Druid 0.22.0),请及时下载更新,下载地址:
        https://druid.apache.org/downloads.html
        临时修复建议:
        如果目前无法升级,若业务环境允许,使用白名单限制web端口的访问来降低风险。


2 Metabase 信息泄露漏洞(CVE-2021-41277)
一、漏洞描述:
        431.jpg
        Metabase是美国Metabase公司的一个开源数据分析平台。
        Metabase 中存在信息泄露漏洞,该漏洞源于产品的 admin->settings->maps->custom maps->add a map 操作缺少权限验证。攻击者可通过该漏洞获得敏感信息。

二、风险等级:
          高危
三、影响范围:
        x.40.0<=Metabase<=x.40.4
四、修复建议:
        此问题已在新的维护版本(0.40.5 和 1.40.5)以及之后的任何后续版本(包括 x.41+)中修复。补丁获取链接:
        https://github.com/metabase/meta ... GHSA-w73v-6p7p-fpfr


3 Amazon FreeRTOS 代码问题漏洞(CVE-2021-43997)
一、漏洞描述:
        855.jpg
        Amazon FreeRTOS是美国亚马逊(Amazon)公司的一套适用于微控制器的开源操作系统。
        Amazon FreeRTOS 中存在代码问题漏洞,该漏洞源于产品未对xportraisprivilege和vPortResetPrivilege内部函数的调用添加有效权限。攻击者可通过该漏洞通过非内核代码调用该函数。

二、风险等级:
          中危
三、影响范围:
        10.2.0<=Amazon FreeRTOS<=10.4.5
四、修复建议:
        厂商已发布补丁修复漏洞,用户请尽快更新至安全版本。补丁获取链接:
        https://github.com/FreeRTOS/FreeRTOS-Kernel/releases/tag/V10.4.6

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 14:53

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表