免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Oracle MySQL Server拒绝服务漏洞 (CVE-2022-21304)
一、漏洞描述:
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。
Oracle MySQL的MySQL Server产品中(组件:Server: Parser)5.7.36及之前版本和8.0.27及之前版本存在拒绝服务漏洞。攻击者可利用该漏洞通过多种协议访问网络破坏MySQL Server,并在未经授权的情况下导致程序挂起或频繁崩溃(拒绝服务)。
二、风险等级:
高危
三、影响范围:
Oracle MySQL Server <= 8.0.27
Oracle MySQL Server <= 5.7.36
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpujan2022.html
2 VMware vCenter Server信息泄露漏洞(CVE-2022-22948)
一、漏洞描述:
VMware vCenter Server是一款高级服务器管理软件,提供了一个集中式平台来控制vSphere环境,以实现跨混合云的可见性。来自VMware合作伙伴的vSphere Client Plug-in使IT管理员可以直接从vCenter Server管理他们数据中心内的第三方元素。我们的服务器管理软件具有行业内最大的合作伙伴生态系统,以及开源vSphere Client Plug-in SDK。这使得vCenter Server客户可以直接通过vCenter Server执行备份、数据保护、服务器管理、网络管理和安全管理。
VMware vCenter Server是一款高级服务器管理软件,提供了一个集中式平台来控制vSphere环境,以实现跨混合云的可见性。来自VMware合作伙伴的vSphere Client Plug-in使IT管理员可以直接从vCenter Server管理他们数据中心内的第三方元素。我们的服务器管理软件具有行业内最大的合作伙伴生态系统,以及开源vSphere Client Plug-in SDK。这使得vCenter Server客户可以直接通过vCenter Server执行备份、数据保护、服务器管理、网络管理和安全管理。
二、风险等级:
中危
三、影响范围:
vCenter Server < 7.0 U3d
vCenter Server < 6.7 U3d
vCenter Server < 6.5 U3r
vCenter Server < 3.11
vCenter Server < 4.x
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.vmware.com/security/advisories/VMSA-2022-0009.html
3 Apple Xcode越界读取漏洞(CVE-2022-22602)
一、漏洞描述:
苹果公司(Apple Inc.)是美国一家高科技公司。苹果营收达到3658亿美元, [169] 由史蒂夫·乔布斯、斯蒂夫·盖瑞·沃兹尼亚克和罗纳德·杰拉尔德·韦恩(Ron Wayne)等人于1976年4月1日创立,并命名为美国苹果电脑公司(AppleComputer Inc.),2007年1月9日更名为苹果公司,总部位于加利福尼亚州的库比蒂诺。Apple Xcode是美国苹果(Apple)公司的一套向开发人员提供的集成开发环境,它主要用于开发Mac OS X和iOS的应用程序。
Apple Xcode存在越界读取漏洞,该漏洞源于otool中处理文件时出现边界错误,攻击者可利用该漏洞通过恶意制作的文件,导致应用程序意外终止或任意代码执行。
二、风险等级:
中危
三、影响范围:
Apple Xcode < 13.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.apple.com/en-us/HT213189
4 Linux Kernel缓冲区溢出漏洞(CVE-2022-27666)
一、漏洞描述:
Linux Kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
Linux内核中net/ipv4/esp4.c和net/ipv6/esp6.c中的IPsec ESP转换代码中发现堆缓冲区溢出漏洞。该漏洞允许具有正常用户权限的本地攻击者覆盖内核中的堆对象,可能会导致本地提权漏洞。
二、风险等级:
高危
三、影响范围:
Linux Kernel < 5.16.15
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.15 |