漏洞风险提示（20220120）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 ZOHO ManageEngine Desktop Central身份验证绕过漏洞（CVE-2021-44757）
一、漏洞描述：
       
        ZOHO ManageEngine Desktop Central（DC）是美国卓豪（ZOHO）公司的一套桌面管理解决方案。该方案包含软件分发、补丁管理、系统配置、远程控制等功能模块，可对桌面机以及服务器管理的整个生命周期提供支持。
        该漏洞允许远程攻击者在未授权的情况下，进行数据读取或在目标服务器上写入任意zip文件。该漏洞会影响 Desktop Central 和 Desktop Central MSP 统一端点管理 (UEM) 解决方案。
二、风险等级：
          高危
三、影响范围：
        ManageEngine Desktop Central < 10.1.2137.9
        ManageEngine Desktop Central MSP < 10.1.2137.9
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://pitstop.manageengine.com ... 021-44757-17-1-2022

---

2 Citrix Workspace App权限提升漏洞（CVE-2022-21825）
一、漏洞描述：
       
        适用于Linux 的Citrix Workspace 应用程序是一款软件客户端，允许您从多种类型的Linux 设备安全轻松地访问桌面、应用程序和数据。在采用Citrix 技术的IT 基础结构中，Citrix Workspace 应用程序可赋予您超凡的移动能力、便捷性和自由，助您高效地完成工作。
        该漏洞可能导致本地用户在运行适用于Linux的Citrix Workspace App的计算机上将其权限级别提升为 root。
二、风险等级：
          高危
三、影响范围：
        Citrix Workspace App = Linux 2012 - 2111
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.citrix.com/zh-cn/downloads/workspace-app/linux/

---

3 Apache Knox SSO XSS漏洞（CVE-2021-42357）
一、漏洞描述：
       
        Apache Knox是一个应用程序网关，用于以安全的方式与一个或多个Hadoop集群的REST api和用户界面进行交互。
        当在受影响的版本中使用Knox SSO时，由于URL解析不当，可能会制作请求以将用户重定向到恶意页面。包含特制请求参数的请求可用于将用户重定向到攻击者控制的页面。此 URL 需要通过 XSS 或网络钓鱼活动在正常请求流之外呈现给用户。
二、风险等级：
          中危
三、影响范围：
        Apache Knox < 1.6.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://lists.apache.org/thread/b7v5dkpyqb51nw0lvz4cybhgrfhk1g7j

---

4 OpenBSD Kernel信息泄露漏洞（CVE-2021-34999）
一、漏洞描述：
       
        OpenBSD是一个类Unix计算机操作系统，是加州大学伯克利分校所开发的Unix派生系统伯克利软件套件（BSD）的一个后继者。
        此漏洞允许本地攻击者披露有关受影响的 OpenBSD Kernel安装的敏感信息。攻击者必须首先获得在目标系统上执行低权限代码的能力，才能利用此漏洞。该问题是由于在访问内存之前没有正确初始化内存造成的。攻击者可以利用此漏洞与其他漏洞一起提升权限并在内核上下文中执行任意代码。
二、风险等级：
          中危
三、影响范围：
        OpenBSD Kernel < 7.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.openbsd.org/