漏洞风险提示（20211224）

发表于 2021-12-24 09:26

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 Auerswald COMpact 5500R后门漏洞（CVE-2021-40859）
一、漏洞描述：

Auerswald Compact 系列是德国Auerswald公司的一种 Ict 解决方案。
该漏洞源于该产品的固件中发现了几个后门。这些后门允许能够访问基于 Web 的管理应用程序的攻击者对设备进行完全管理访问。
二、风险等级：
高危
三、影响范围：
Auerswald Compact <= 8.0B
Auerswald Compact <= 4.0S
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.auerswald.de/en/product/compact-5500r

2 Lantronix PremierWave命令注入漏洞（CVE-2021-21873）
一、漏洞描述：

Lantronix PremierWave 2050是美国Lantronix公司的一个嵌入式企业 Wi-Fi 模块。用于提供可靠且始终在线的 5G Wi-Fi 连接。
近日，发现Lantronix PremierWave存在多个操作系统命令注入漏洞的信息。漏洞编号：CVE-2021-21873、CVE-2021-21874、CVE-2021-21875，漏洞威胁等级：严重，漏洞评分：9.1。该漏洞是在 PremierWave 2050 的“Web 管理器”Web 界面的“管理”>“SSL”>“凭据”页面中发现了多个默认验证命令注入漏洞。提交给站点/ssl端点的用户控制的 POST 参数被直接注入到以 root 权限执行的多个系统调用中。在这种情况下，经过身份验证的攻击者控制keypasswdPOST 参数，该参数在被注入到各种 OpenSSL 命令之前未经服务器验证。
二、风险等级：
高危
三、影响范围：
Lantronix PremierWave = 2050 8.9.0.0R4
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://talosintelligence.com/vulnerability_reports/TALOS-2021-1314

3 Opencast信息泄露漏洞（CVE-2021-43821）
一、漏洞描述：

Opencast（以前称为 Opencast Matterhorn）是一款免费的开源软件，用于自动捕获、处理、管理和分发视频。Opencast 由开发人员社区与全球领先的大学和组织合作构建。
该漏洞的存在是由于一个逻辑错误，该错误允许在摄取的媒体包中引用本地文件 URL。远程用户可以包含来自 Opencast 主机的任意本地文件，并通过 Web 界面使它们公开可用。
二、风险等级：
高危
三、影响范围：
Opencast < 10.6
Opencast < 9.10
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/opencast/opencast/security/advisories/GHSA-59g4-hpg3-3gcp

4 Linux kernel竞争漏洞（CVE-2021-20321）
一、漏洞描述：

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核，是实现Linux系统应用层功能的底层架构，它连接了系统底层硬件和系统上层应用。
该漏洞的存在是由于访问 Linux 内核 OverlayFS 子系统中的文件对象时的竞争条件。本地用户可以使用 OverlayFS 以特定方式重命名文件并执行拒绝服务 (DoS) 攻击。
二、风险等级：
中危
三、影响范围：
Linux Kernel < 5.15 - rc5
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://lists.debian.org/debian-lts-announce/2021/12/msg00012.html

		自动登录	找回密码
密码			注册创意安天