找回密码
 注册创意安天

漏洞风险提示(20211224)

[复制链接]
发表于 2021-12-24 09:26 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Auerswald COMpact 5500R后门漏洞(CVE-2021-40859)
一、漏洞描述:
        auerswald.jpg
        Auerswald Compact 系列是德国Auerswald公司的一种 Ict 解决方案。
        该漏洞源于该产品的固件中发现了几个后门。这些后门允许能够访问基于 Web 的管理应用程序的攻击者对设备进行完全管理访问。

二、风险等级:
          高危
三、影响范围:
        Auerswald Compact <= 8.0B
        Auerswald Compact <= 4.0S

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.auerswald.de/en/product/compact-5500r



2 Lantronix PremierWave命令注入漏洞(CVE-2021-21873)
一、漏洞描述:
        lantronix.jpg
        Lantronix PremierWave 2050是美国Lantronix公司的一个嵌入式企业 Wi-Fi 模块。用于提供可靠且始终在线的 5G Wi-Fi 连接。
        近日,发现Lantronix PremierWave存在多个操作系统命令注入漏洞的信息。漏洞编号:CVE-2021-21873、CVE-2021-21874、CVE-2021-21875,漏洞威胁等级:严重,漏洞评分:9.1。该漏洞是在 PremierWave 2050 的“Web 管理器”Web 界面的“管理”>“SSL”>“凭据”页面中发现了多个默认验证命令注入漏洞。提交给站点/ssl端点的用户控制的 POST 参数被直接注入到以 root 权限执行的多个系统调用中。在这种情况下,经过身份验证的攻击者控制keypasswdPOST 参数,该参数在被注入到各种 OpenSSL 命令之前未经服务器验证。

二、风险等级:
          高危
三、影响范围:
        Lantronix PremierWave = 2050 8.9.0.0R4
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://talosintelligence.com/vulnerability_reports/TALOS-2021-1314



3 Opencast信息泄露漏洞(CVE-2021-43821)
一、漏洞描述:
        opencast.jpg
        Opencast(以前称为 Opencast Matterhorn)是一款免费的开源软件,用于自动捕获、处理、管理和分发视频。Opencast 由开发人员社区与全球领先的大学和组织合作构建。
        该漏洞的存在是由于一个逻辑错误,该错误允许在摄取的媒体包中引用本地文件 URL。远程用户可以包含来自 Opencast 主机的任意本地文件,并通过 Web 界面使它们公开可用。

二、风险等级:
          高危
三、影响范围:
        Opencast < 10.6
        Opencast < 9.10

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/opencast/opencast/security/advisories/GHSA-59g4-hpg3-3gcp



4 Linux kernel竞争漏洞(CVE-2021-20321)
一、漏洞描述:
        linux.jpg
        Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核,是实现Linux系统应用层功能的底层架构,它连接了系统底层硬件和系统上层应用。
        该漏洞的存在是由于访问 Linux 内核 OverlayFS 子系统中的文件对象时的竞争条件。本地用户可以使用 OverlayFS 以特定方式重命名文件并执行拒绝服务 (DoS) 攻击。

二、风险等级:
          中危
三、影响范围:
        Linux Kernel < 5.15 - rc5
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://lists.debian.org/debian-lts-announce/2021/12/msg00012.html


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 07:25

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表