免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache Kylin 代码问题漏洞(CVE-2021-27738)
一、漏洞描述:
Apache Kylin是美国阿帕奇(Apache)基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)等功能。
Apache kylin 存在代码问题漏洞,该漏洞源于所有请求映射的StreamingCoordinatorController.java‘处理’麒麟api流协调员*’REST api端点不包括任何安全检查,允许任意请求未经过身份验证的用户问题,如分配unassigning流数据集,创建修改和删除副本集,给麒麟协调员对于在HTTP消息体中接受节点细节的端点,可以实现未经身份验证(但有限制)的服务器端请求伪造(SSRF)。
二、风险等级:
高危
三、影响范围:
Apache Kylin 3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/vkohh0to2vzwymyb2x13fszs3cs3vd70
2 Apache James 命令注入漏洞(CVE-2021-38542)
一、漏洞描述:
Apache James是美国阿帕奇(Apache)基金会的一个完全用 Java 编写的开源 Smtp 和 Pop3 邮件传输代理和 Nntp 新闻服务器。
Apache James 3.6.1存在命令注入漏洞,攻击者可利用该漏洞执行中间人命令注入攻击,导致敏感信息泄漏。
二、风险等级:
中危
三、影响范围:
Apache James 3.6.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://seclists.org/oss-sec/2022/q1/3
3 多款Qualcomm产品代码问题漏洞(CVE-2021-30300)
一、漏洞描述:
Qualcomm MDM9206等都是美国高通(Qualcomm)公司的产品。MDM9206是一款中央处理器(CPU)产品。MDM9607是一款中央处理器(CPU)产品。MDM9640是一款中央处理器(CPU)产品。
Qualcomm产品存在安全漏洞,该漏洞可能由于 SIB2 OTA 消息的十六进制数据解码错误并在处理 SRS 配置时为选择分配垃圾值而导致拒绝服务。
二、风险等级:
中危
三、影响范围:
APQ8009W、APQ8017、APQ8096AU、AR8035、CSRB31024、FSM10055、FSM108207、 MDM9150,MDM9205,MDM9206
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://source.android.com/security/bulletin/pixel/2022-01-01
4 Google Chrome 安全特征问题漏洞(CVE-2022-0118)
一、漏洞描述:
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Media是其中的一个多媒体组件。JavaScript是其中的一个JavaScript代码调试组件。cookies是其中的一个cookies插件。permissions是其中的一个权限组件。
Google Chrome 中存在安全特征问题漏洞,该漏洞源于产品的WebShare实现错误导致的。远程攻击者可利用该漏洞可以创建一个特别设计的网页,欺骗受害者访问它并获得敏感信息。该漏洞允许远程攻击者可利用该漏洞访问敏感信息。
二、风险等级:
中危
三、影响范围:
Chrome < 97.0.4692.71
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.google.cn/chrome/
|
发表于 2022-1-10 10:03
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡