找回密码
 注册创意安天

漏洞风险提示(20211230)

[复制链接]
发表于 2021-12-30 00:32 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Apache Log4j2远程代码执行漏洞(CVE-2021-44832)
一、漏洞描述:
        log4.png
        Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI 组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息每一条日志信息的级别,能够更加细致地控制日志的生成过程。
        近日,Apache官方发布了安全更新,修复了一个Apache Log4j2组件中存在的远程代码执行漏洞。漏洞编号:CVE-2021-44832,漏洞威胁等级:中危,漏洞评分:6.6。漏洞利用条件较苛刻,用户可选择性处理。Apache Log4j2 版本2.0-beta7到 2.17.0(不包括安全修复版本 2.3.2 和 2.12.4)容易受到远程代码执行 (RCE) 攻击, 拥有修改日志配置文件权限的攻击者可以使用JDBC Appender构建恶意配置,其数据源引用JNDI URI,可以远程执行代码,但该漏洞利用需要配置文件jdbc连接可控。此问题已通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 协议来解决。
        请注意,只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。
        Apache Log4j 是唯一受此漏洞影响的日志服务子项目。Log4net 和 Log4cxx 等其他项目不受此影响。

二、风险等级:
          中危
三、影响范围:
        2.0-beta7 <= Apache Log4j2 <= 2.17.0(不包括安全修复版本 2.3.2 和 2.12.4)
四、修复建议:
        官方已发布安全版本,请及时下载更新,下载地址:
        https://github.com/apache/logging-log4j2/tags



2 Gerapy操作系统命令注入漏洞(CVE-2021-43857)
一、漏洞描述:
        2.jpg
        Gerapy是一款基于Scrapy、Scrapyd、Django和Vue.js的分布式爬虫管理框架。
        该漏洞源于软件对于系统命令缺少有效的过滤和转义,导致容易受到远程代码执行的影响。

二、风险等级:
          高危
三、影响范围:
        Gerapy < 0.9.8
四、修复建议:
        厂商已发布补丁修复漏洞,用户请尽快更新至安全版本0.9.8。下载链接如下:
        https://github.com/Gerapy/Gerapy/security/advisories/GHSA-9w7f-m4j4-j3xw



3 GoAhead文件上传漏洞(CVE-2021-42342)
一、漏洞描述:
        3.jpg
        GoAhead是美国Embedthis Software公司的一个开源的小型嵌入式 Web 服务器。
        GoAhead存在文件上传漏洞,该漏洞源于在文件上传过滤器中过滤处理的不全。攻击者可利用此漏洞将不受信任的环境变量导入到脆弱的CGI脚本。

二、风险等级:
          高危
三、影响范围:
        GoAhead web-server = 4.x
        5.x <= GoAhead web-server < 5.1.5

四、修复建议:
        厂商已发布补丁修复漏洞,用户请尽快更新至安全版本GoAhead 5.1.5。下载链接如下:
        https://github.com/embedthis/goahead



4 TP-Link TL-WR802N命令注入漏洞(CVE-2021-4144)
一、漏洞描述:
        4.jpg
        TP-Link TL-WR802N是中国普联(TP-Link)公司的一个无线路由器。
        该产品容易受到操作系统命令注入的影响。任何可以登录受影响产品的Web界面的用户都可以执行任何操作系统命令。

二、风险等级:
          高危
三、影响范围:
        TP-Link TL-WR802N V4(JP) < 211202
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.tp-link.com/en/support/download/tl-wr802n/#Firmware
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 07:16

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表