找回密码
 注册创意安天

漏洞风险提示(20211213)

[复制链接]
发表于 2021-12-13 09:32 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 VMware 多个产品 Log4j2 RCE漏洞(CVE-2021-44228)
一、漏洞描述:
        vcenter.png
        VMware vCenter 服务器是一种高级服务器管理软件,提供一个用于控制 VMware vSphere 环境的集中式平台,帮助用户获取集中式可见性、简单高效的规模化管理,从而在整个混合云中自动部署和交付虚拟基础架构。
        近日,VMware发布安全公告,VMware众多产品受远程代码执行漏洞(CVE-2021-44228)影响,VMware vCenter6.5、VMware vCenter6.7、VMware vCenter7.0、VMware NSX等均受此漏洞的影响,可在未授权的情况下达到远程命令执行的效果。

二、风险等级:
          高危
三、影响范围:
        VMware Horizon
        VMware vCenter Server
        VMware HCX
        VMware NSX-T Data Center
        VMware Unified Access Gateway
        VMware WorkspaceOne Access
        VMware Identity Manager
        VMware vRealize Operations
        VMware vRealize Operations Cloud Proxy
        VMware vRealize Log Insight
        VMware vRealize Automation
        VMware vRealize Lifecycle Manager
        VMware Telco Cloud Automation
        VMware Site Recovery Manager
        VMware Carbon Black Cloud Workload Appliance
        VMware Carbon Black EDR Server
        VMware Tanzu GemFire
        VMware Tanzu Greenplum
        VMware Tanzu Operations Manager
        VMware Tanzu Application Service for VMs
        VMware Tanzu Kubernetes Grid Integrated Edition
        VMware Tanzu Observability by Wavefront Nozzle
        Healthwatch for Tanzu Application Service
        Spring Cloud Services for VMware Tanzu
        Spring Cloud Gateway for VMware Tanzu
        Spring Cloud Gateway for Kubernetes
        API Portal for VMware Tanzu
        Single Sign-On for VMware Tanzu Application Service
        App Metrics
        VMware vCenter Cloud Gateway
        VMware Tanzu SQL with MySQL for VMs
        VMware vRealize Orchestrator
        VMware Cloud Foundation

四、修复建议:
        针对Log4j2漏洞,VMware暂时只给出了漏洞缓解措施,并未发布安全补丁,可以参考建议对相应系统进行加固。还请继续关注其补丁更新。VMware官方的安全通告链接:
        https://www.vmware.com/security/advisories/VMSA-2021-0028.html



2 Microsoft Windows Active Directiory域服务权限提升漏洞(CVE-2021-42287)
一、漏洞描述:
        windows.png
        Microsoft Windows Active Directory 域服务存在特权提升漏洞,该漏洞的存在是由于AD没有对域内机器账户名做验证,导致绕过安全限制。经过远程身份验证的攻击者可以结合CVE-2021-42278将域内普通用户权限提升到域管理员权限。
二、风险等级:
          高危
三、影响范围:
        Windows Server 2012 R2 (Server Core installation)
        Windows Server 2012 R2
        Windows Server 2012 (Server Core installation)
        Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core installation)
        Windows Server 2012
        Windows Server 2008 R2 for x64-based Systems Service Pack 1
        Windows Server 2008 for x64-based Systems Service Pack 2(Server Core installation)
        Windows Server 2008 for x64-based Systems Service Pack 2
        Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core installation)
        Windows Server 2008 for 32-bit Systems Service Pack 2
        Windows Server 2016 (Server Core installation)
        Windows Server 2016
        Windows Server, version 20H2 (Server Core Installation)
        Windows Server, version 2004 (Server Core installation)
        Windows Server 2022 (Server Core installation)
        Windows Server 2022
        Windows Server 2019 (Server Core installation)
        Windows Server 2019

四、修复建议:
        可以采用以下官方解决方案来防护此漏洞:
        1、Windows自动更新
        Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
        (1)点击“开始菜单”或按Windows快捷键,点击进入“设置”
        (2)选择“更新和安全”,进入“Windows更新”(Windows Server 2012和Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
        (3)选择“检查更新”,等待系统将自动检查并下载可用更新
        (4)重启计算机,安装更新
        系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
       
        2、手动安装补丁
        对于不能自动更新的系统版本(如Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的补丁并安装:
        https://msrc.microsoft.com/updat ... lity/CVE-2021-42287



3 Microsoft Windows Active Directiory域服务权限提升漏洞(CVE-2021-42278)
一、漏洞描述:
        windows.png
        Microsoft Windows Active Directory 域服务存在特权提升漏洞,该漏洞是由于应用程序没有对 Active Directory 域服务进行适当的安全限制,经过身份认证的远程攻击者结合CVE-2021-42287可以导致绕过安全限制和权限提升。
二、风险等级:
          高危
三、影响范围:
        Windows Server 2012 R2
        Windows Server 2012 (Server Core installation)
        Windows Server 2012
        Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core installation)
        Windows Server 2008 R2 for x64-based Systems Service Pack 1
        Windows Server 2008 for x64-based Systems Service Pack 2(Server Core installation)
        Windows Server 2008 for x64-based Systems Service Pack 2
        Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core installation)
        Windows Server 2008 for 32-bit Systems Service Pack 2
        Windows Server 2016 (Server Core installation)
        Windows Server 2016
        Windows Server, version 20H2 (Server Core Installation)
        Windows Server, version 2004 (Server Core installation)
        Windows Server 2022 (Server Core installation)
        Windows Server 2019 (Server Core installation)
        Windows Server 2022
        Windows Server 2019
        Windows Server 2012 R2 (Server Core installation)

四、修复建议:
        可以采用以下官方解决方案来防护此漏洞:
        1、Windows自动更新
        Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
        (1)点击“开始菜单”或按Windows快捷键,点击进入“设置”
        (2)选择“更新和安全”,进入“Windows更新”(Windows Server 2012和Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
        (3)选择“检查更新”,等待系统将自动检查并下载可用更新
        (4)重启计算机,安装更新
        系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
       
        2、手动安装补丁
        对于不能自动更新的系统版本(如Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的补丁并安装:
        https://msrc.microsoft.com/updat ... lity/CVE-2021-42278



4 ZEIT Next.js输入验证错误漏洞(CVE-2021-43803)
一、漏洞描述:
        js.png
        ZEIT Next.js是ZEIT公司的一款基于Vue.js、Node.js、Webpack和Babel.js的开源Web应用框架。
        ZEIT Next.js存在输入验证错误漏洞,该漏洞源于软件对于url错误格式缺乏有效的处理。无效或格式错误的url可能会导致服务器崩溃。

二、风险等级:
          中危
三、影响范围:
        v11.1.0 < Next.js < v12.0.5
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/vercel/next.js/releases/v12.0.5
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 07:18

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表