找回密码
 注册创意安天

漏洞风险提示(20220311)

[复制链接]
发表于 2022-3-11 09:31 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Schneider Electric加密问题漏洞(CVE-2022-0715)
一、漏洞描述:
        
       Schneider Electric APC Smart-UPS SMC Series等都是法国施耐德电气(Schneider Electric)公司的产品。Schneider Electric APC Smart-UPS SMC Series是一款适用于单台服务器、低功耗网络和销售点 (POS) 设备的入门级 UPS。Schneider Electric APC Smart-UPS SMT Series是一款服务器、销售点、路由器、交换机、集线器和其他网络设备的线路交互式电源保护。Schneider Electric APC Smart-UPS SRT Series是一款高密度、 真正的双转换在线电源保护。
        Schneider Electric 多款产品存在加密问题漏洞,攻击者利用该漏洞在密钥泄露时可以随意改变UPS的行为,用于上传恶意固件。

二、风险等级:
           高危
三、影响范围:
        SMT受影响批次:
        ID=18;09.8及以前固件
        ID=1040;01.2及以前固件
        ID=1031;03.1及以前固件
        SMC受影响批次:
        ID=1005;14.1及以前固件
        ID=1007;11.0及以前固件
        ID=1041;01.1及以前固

四、修复建议:
        目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:
        http://www.armis.com/research/tlstorm/



2 Schneider Electric缓冲区错误漏洞(CVE-2022-22805)
一、漏洞描述:
        
       Schneider Electric APC Smart-UPS SMC Series等都是法国施耐德电气(Schneider Electric)公司的产品。Schneider Electric APC Smart-UPS SMC Series是一款适用于单台服务器、低功耗网络和销售点 (POS) 设备的入门级 UPS。Schneider Electric APC Smart-UPS SMT Series是一款服务器、销售点、路由器、交换机、集线器和其他网络设备的线路交互式电源保护。Schneider Electric APC Smart-UPS SRT Series是一款高密度、 真正的双转换在线电源保护。
        Schneider Electric 多款产品存在缓冲区错误漏洞,当重新组装处理不当的TLS包时,该漏洞可能会导致远程代码执行。

二、风险等级:
           高危
三、影响范围:
        SMT受影响批次:
        ID=18;09.8及以前固件
        ID=1040;01.2及以前固件
        ID=1031;03.1及以前固件
        SMC受影响批次:
        ID=1005;14.1及以前固件
        ID=1007;11.0及以前固件
        ID=1041;01.1及以前固

四、修复建议:
        目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:
        http://www.armis.com/research/tlstorm/



3 Schneider Electric APC未授权访问漏洞(CVE-2022-22806)
一、漏洞描述:
        
        Schneider Electric APC Smart-UPS SMC Series等都是法国施耐德电气(Schneider Electric)公司的产品。Schneider Electric APC Smart-UPS SMC Series是一款适用于单台服务器、低功耗网络和销售点 (POS) 设备的入门级 UPS。Schneider Electric APC Smart-UPS SMT Series是一款服务器、销售点、路由器、交换机、集线器和其他网络设备的线路交互式电源保护。Schneider Electric APC Smart-UPS SMX Series是一款智能高效网络电源保护。
        Schneider Electric APC 多款产品存在授权问题漏洞,当发送错误链接时,该漏洞可能会导致UPS连接未经认证。

二、风险等级:
           高危
三、影响范围:
        SMT受影响批次:
        ID=18;09.8及以前固件
        ID=1040;01.2及以前固件
        ID=1031;03.1及以前固件
        SMC受影响批次:
        ID=1005;14.1及以前固件
        ID=1007;11.0及以前固件
        ID=1041;01.1及以前固

四、修复建议:
        目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:
        http://www.armis.com/research/tlstorm/



4  Redis沙盒逃逸漏洞(CVE-2022-0543)
一、漏洞描述:
        
        在 Debian 系的 Linux 发行版系统上,由于打包问题,Redis 在 Lua 解析器初始化后,package 变量没有被正确清除,导致攻击者可以利用它来进行 Lua 沙箱逃逸,从而执行任意系统命令。
        CVE-2022-0543 只影响 Debian 系的 Linux 发行版系统(Debian、Ubuntu 等)上的 Redis 服务,其他系统上的 Redis 服务不受影响。另外要利用此漏洞,攻击者需具有执行 eval 命令的权限(攻击者经过认证、或者 Redis 本身未设置鉴权检查)。

二、风险等级:
           高危
三、影响范围:
        运行在 Debian、Ubuntu 或其他基于 Debian 的 Linux 发行版系统上的 Redis 服务。

四、修复建议:
        目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:
        https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1005787
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 14:54

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表