找回密码
 注册创意安天

漏洞风险提示(20220328)

[复制链接]
发表于 2022-3-28 09:14 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Spring Cloud Function SpEL表达式注入漏洞(CVE-2022-22963)
一、漏洞描述:     
        spring.jpg
         Spring是Java EE编程领域的一个轻量级开源框架,Spring Cloud Function 是基于 Spring Boot 的函数计算框架,其抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。
         该漏洞是由于Spring Cloud Function的RoutingFunction类未能正确处理用户发送的数据,导致其apply方法错误地将请求头中”spring.cloud.function.routing-expression”的参数识别为SPEL表达式,未经身份验证的恶意攻击者通过发送带有恶意命令的请求数据,能够在目标服务器上执行任意代码。

二、风险等级:
           高危
三、影响范围:
          3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
四、修复建议:
        目前官方已针对此漏洞发布修复补丁,请受影响的用户尽快更新进行防护,官方链接:
        https://github.com/spring-cloud/ ... ba6f4bca906c4f3744f



2 NVIDIA Data Center GPU Manager远程代码执行漏洞(CVE-2022-21820)
一、漏洞描述:     
        2.png
         NVIDIA是一家人工智能计算公司。公司创立于1993年,总部位于美国加利福尼亚州圣克拉拉市。美籍华人Jensen Huang(黄仁勋)是创始人兼CEO。NVIDIA公司专门打造面向计算机、消费电子和移动终端,能够改变整个行业的创新产品。这些产品家族正在改变视觉丰富和运算密集型应用例如视频游戏、电影产业、广播、工业设计、财政模型、空间探索以及医疗成像。NVIDIA Data Center GPU Manager是美国英伟达(Nvidia)公司的一套数据中心管理工具,可让您管理和监控加速数据中心中的GPU资源。
         NVIDIA Data Center GPU Manager存在安全漏洞,该漏洞是由于nvhostengine中的错误而存在的。攻击者可利用漏洞运行特制程序在系统上执行任意代码。

二、风险等级:
           高危
三、影响范围:
          NVIDIA Data Center GPU Manager
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        http://nvidia.custhelp.com/app/answers/detail/a_id/5328



3 Honda Civic重放攻击漏洞(CVE-2022-27254)
一、漏洞描述:     
        3.png
         Honda Civic是日本本田(Honda)公司的一款汽车。
         Honda Civic 2018车型的remote keyless system存在安全漏洞,该漏洞源于remote keyless system为每个车门打开请求发送相同的RF信号,从而允许重放攻击。

二、风险等级:
           中危
三、影响范围:
          Honda Civic 2018
四、修复建议:
        目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
        https://github.com/nonamecoder/CVE-2022-27254



4 Microsoft Windows Print Spooler Components权限提升漏洞(CVE-2022-21999)
一、漏洞描述:     
        windows.png
         Microsoft Windows Print Spooler Components是美国微软(Microsoft)公司的一个打印后台处理程序组件。
         该漏洞通过调用 SetPrinterDataEx() 函数进行加载,从而以 SYSTEM 的形式执行任意代码。

二、风险等级:
           高危
三、影响范围:
        Windows Server 2012 R2
        Windows Server 2012
        Windows Server 2008 R2
        Windows Server 2008
        Windows 8.1
        Windows 7
        Windows Server 2016
        Windows 10
        Windows 11
        Windows Server 2022
        Windows Server 2019       
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://msrc.microsoft.com/updat ... lity/CVE-2022-21999
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 20:29

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表