找回密码
 注册创意安天

漏洞风险提示(20220407)

[复制链接]
发表于 2022-4-6 20:10 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Slackware Linux代码执行漏洞(CVE-2022-1154)
一、漏洞描述:     
        1.png
        Slackware Linux 是由Patrick Volkerding 开发的 GNU/Linux 发行版,最初基于Softlanding Linux System(SLS)。与很多其他的发行版不同,它坚持KISS(Keep It Simple Stupid)原则。新手用户配置系统会有一些困难,但是更有经验的用户会喜欢这种方式的透明性和灵活性。
        该漏洞允许攻击者利用 regexp_bt.c 中 utf_ptr2char()函数的缺陷,通过发送特殊设计的恶意文件诱使受害者打开,从而触发后,造成使用错误,绕过保护机制,修改内存,并可能执行任意代码。

二、风险等级:
           高危
三、影响范围:
        Slackware 15.0
        Slackware x86_64 15.0
        Slackware x86_64 -current
        Slackware -current

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        http://www.slackware.com/securit ... are-security.430440



2 Oracle Commerce输入验证错误漏洞(CVE-2022-21387)
一、漏洞描述:     
        02.png
        Oracle Commerce是美国甲骨文(Oracle)公司的一套电子商务解决方案。Commerce Platform是其中的一个提供多功能的电子商务平台组件。
        该漏洞允许未经身份验证的攻击者通过HTTP进行网络访问,从而破坏 Oracle Commerce Platform。攻击者可利用该漏洞导致对Oracle Commerce Platform可访问数据的子集进行未经授权的读取访问。

二、风险等级:
           中危
三、影响范围:
        Oracle CommercePlatform 11.3.1
        Oracle Commerce Platform 11.3.2
        Oracle Commerce Platform 11.3.0

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.oracle.com/security-alerts/cpujan2022.html



3 CScms输入验证错误漏洞(CVE-2022-27090)
一、漏洞描述:     
        cscms.png
        桂林崇胜网络科技创立于2016年,位于山水甲天下的桂林,是一家新兴的网络科技有限公司。自成立之初始终秉承自主创新、以诚为本的理念,先后研发了Cscms音乐门户管理系统、Ctcms视频管理系统、Mccms小说漫画管理系统、多用户视频云盘系统、以及一款多商户入驻的发卡平台管理系统。崇胜网络科技以自主创新,研发新技术新能力作为立足之本,以打造一个能够容纳生活门户、在线教育、数字阅读、广告平台等多样化功能的互联网生态圈为目标。
        CScms Music Portal System v4.2存在安全漏洞,该漏洞源于backurl 参数会导致重定向。

二、风险等级:
           中危
三、影响范围:
        CScms v4.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://gitee.com/shenshaoqing/cms/issues/I4X3F9



4 Zabbix Sia Zabbix访问控制错误漏洞(CVE-2022-23132)
一、漏洞描述:     
        zabbix.png
        Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。它能监控各种网络参数以及服务器健康性和完整性的软件。Zabbix使用灵活的通知机制,允许用户为几乎任何实践配置基于邮件(短信、微信等)的告警。这样可以快速反馈服务器的问题。基于已存储的数据,Zabbix提供了出色的报告和数据可视化功能。
        该漏洞源于程序在从RPM安装Zabbix时,DAC_OVERRIDESE Linux功能可用于访问 /var/run/zabbix 文件夹中的PID文件。攻击者可利用该漏洞通过Zabbix代理或服务器进程绕过文件系统的文件读、写和执行权限检查。

二、风险等级:
           高危
三、影响范围:
        Zabbix Sia Zabbix Sia Zabbix 6.0.0alpha7
        Zabbix Sia Zabbix Sia Zabbix 5.4.8
        Zabbix Sia Zabbix Sia Zabbix 5.0.18
        Zabbix Sia Zabbix Sia Zabbix 4.0.36

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://support.zabbix.com/browse/ZBX-20341
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 21:09

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表