免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 VMware 多个产品 Log4j2 RCE漏洞(CVE-2021-44228)
一、漏洞描述:
VMware vCenter 服务器是一种高级服务器管理软件,提供一个用于控制 VMware vSphere 环境的集中式平台,帮助用户获取集中式可见性、简单高效的规模化管理,从而在整个混合云中自动部署和交付虚拟基础架构。
近日,VMware发布安全公告,VMware众多产品受远程代码执行漏洞(CVE-2021-44228)影响,VMware vCenter6.5、VMware vCenter6.7、VMware vCenter7.0、VMware NSX等均受此漏洞的影响,可在未授权的情况下达到远程命令执行的效果。
二、风险等级:
高危
三、影响范围:
VMware Horizon
VMware vCenter Server
VMware HCX
VMware NSX-T Data Center
VMware Unified Access Gateway
VMware WorkspaceOne Access
VMware Identity Manager
VMware vRealize Operations
VMware vRealize Operations Cloud Proxy
VMware vRealize Log Insight
VMware vRealize Automation
VMware vRealize Lifecycle Manager
VMware Telco Cloud Automation
VMware Site Recovery Manager
VMware Carbon Black Cloud Workload Appliance
VMware Carbon Black EDR Server
VMware Tanzu GemFire
VMware Tanzu Greenplum
VMware Tanzu Operations Manager
VMware Tanzu Application Service for VMs
VMware Tanzu Kubernetes Grid Integrated Edition
VMware Tanzu Observability by Wavefront Nozzle
Healthwatch for Tanzu Application Service
Spring Cloud Services for VMware Tanzu
Spring Cloud Gateway for VMware Tanzu
Spring Cloud Gateway for Kubernetes
API Portal for VMware Tanzu
Single Sign-On for VMware Tanzu Application Service
App Metrics
VMware vCenter Cloud Gateway
VMware Tanzu SQL with MySQL for VMs
VMware vRealize Orchestrator
VMware Cloud Foundation
四、修复建议:
针对Log4j2漏洞,VMware暂时只给出了漏洞缓解措施,并未发布安全补丁,可以参考建议对相应系统进行加固。还请继续关注其补丁更新。VMware官方的安全通告链接:
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
2 Microsoft Windows Active Directiory域服务权限提升漏洞(CVE-2021-42287)
一、漏洞描述:
Microsoft Windows Active Directory 域服务存在特权提升漏洞,该漏洞的存在是由于AD没有对域内机器账户名做验证,导致绕过安全限制。经过远程身份验证的攻击者可以结合CVE-2021-42278将域内普通用户权限提升到域管理员权限。
二、风险等级:
高危
三、影响范围:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2(Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
四、修复建议:
可以采用以下官方解决方案来防护此漏洞:
1、Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
(1)点击“开始菜单”或按Windows快捷键,点击进入“设置”
(2)选择“更新和安全”,进入“Windows更新”(Windows Server 2012和Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
(3)选择“检查更新”,等待系统将自动检查并下载可用更新
(4)重启计算机,安装更新
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
2、手动安装补丁
对于不能自动更新的系统版本(如Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的补丁并安装:
https://msrc.microsoft.com/updat ... lity/CVE-2021-42287
3 Microsoft Windows Active Directiory域服务权限提升漏洞(CVE-2021-42278)
一、漏洞描述:
Microsoft Windows Active Directory 域服务存在特权提升漏洞,该漏洞是由于应用程序没有对 Active Directory 域服务进行适当的安全限制,经过身份认证的远程攻击者结合CVE-2021-42287可以导致绕过安全限制和权限提升。
二、风险等级:
高危
三、影响范围:
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2(Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2019
Windows Server 2012 R2 (Server Core installation)
四、修复建议:
可以采用以下官方解决方案来防护此漏洞:
1、Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
(1)点击“开始菜单”或按Windows快捷键,点击进入“设置”
(2)选择“更新和安全”,进入“Windows更新”(Windows Server 2012和Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
(3)选择“检查更新”,等待系统将自动检查并下载可用更新
(4)重启计算机,安装更新
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
2、手动安装补丁
对于不能自动更新的系统版本(如Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的补丁并安装:
https://msrc.microsoft.com/updat ... lity/CVE-2021-42278
4 ZEIT Next.js输入验证错误漏洞(CVE-2021-43803)
一、漏洞描述:
ZEIT Next.js是ZEIT公司的一款基于Vue.js、Node.js、Webpack和Babel.js的开源Web应用框架。
ZEIT Next.js存在输入验证错误漏洞,该漏洞源于软件对于url错误格式缺乏有效的处理。无效或格式错误的url可能会导致服务器崩溃。
二、风险等级:
中危
三、影响范围:
v11.1.0 < Next.js < v12.0.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/vercel/next.js/releases/v12.0.5 |
发表于 2021-12-13 09:32
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡