找回密码
 注册创意安天

漏洞风险提示(20220511)

[复制链接]
发表于 2022-5-11 09:34 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Microsoft Azure远程命令执行漏洞(CVE-2022-29972)
一、漏洞描述:     
        azure.jpg
        Azure Data Factory是一项支持数据集成和数据转换的Microsoft云提取转换加载 (ETL) 服务。Azure Data Factory作为独立服务提供,也作为 Azure Synapse pipelines提供。
        该漏洞存在于Amazon Redshift 的第三方 ODBC 连接器中,该漏洞允许用户在Synapse pipelines中运行作业以执行远程命令。利用此漏洞的用户可能会获得Azure Data Factory服务证书并在另一个租户的Azure Data Factory集成运行时中执行命令。这些证书特定于Azure Data Factory和 Synapse Pipelines,与 Azure Synapse 的其余部分无关。

二、风险等级:
           高危
三、影响范围:
        Azure Data Factory < 5.17.8154.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.microsoft.com/en-us/download/details.aspx?id=39717



2 Apache Jena XML外部实体注入漏洞(CVE-2022-28890)
一、漏洞描述:     
        jena.jpg
        Apache Jena是一个 Java 工具箱,用于开发基于 RDF 与 OWL 语义(semantic)的 Web 应用程序。
        该漏洞是由于 RDF/XML 解析器中用户提供的 XML 输入的验证不充分而存在。远程攻击者可以将特制的 XML 代码传递给受影响的应用程序并查看系统上任意文件的内容或向外部系统发起请求。成功利用该漏洞可能允许攻击者查看服务器上任意文件的内容或对内部和外部基础设施进行网络扫描。

二、风险等级:
           中危
三、影响范围:
        Apache Jena <= 4.4.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://jena.apache.org/download/index.cgi



3 RubyGems未授权访问漏洞(CVE-2022-29176)
一、漏洞描述:     
       
        Rubygems 是一个软件包注册中心,用于为 Ruby 语言生态系统提供软件,它托管超过 170,000 个 Ruby 包(gem),在其生命周期内提供了近1000 亿次下载。
        该漏洞是由于可从存储库中取消发布(“yank”)某些 Ruby 包,并使用相同的文件名和版本号重新发布其污染或恶意的版本。

二、风险等级:
           高危
三、影响范围:
        1. gem名称中有一个或多个破折号,例如something-provider。
        2. 第一个破折号之前的单词表示 RubyGems.org 上存在被感染的 gem。
        3. 被拉取/更改的gem要么是在过去 30 天内创建的,要么在 100 多天内未更新。

四、修复建议:
        目前RubyGems.org已经修复了此漏洞。官方链接如下:
        https://github.com/rubygems/ruby ... GHSA-hccv-rwq6-vh79
       
        RubyGem开发人员可采取如下措施:
        在CI和部署过程中以--frozen 或者--deployment 模式使用Bundler,将保证应用程序不会静默切换到使用此漏洞创建的版本。
        可以通过查看Gemfile.lock 历史记录,查看是否有已更改且版本号保持不变的 gem。例如,将 gemname-3.1.2 更新为 gemname-3.1.2-java 可能表明此漏洞已经被滥用。



4 Delta Electronics DIAEnergie SQL注入漏洞(CVE-2022-1370)
一、漏洞描述:     
        9.png
        Delta Electronics DIAEnergie是一个工业能源管理系统,用于实时监控和分析能源消耗、计算能源消耗和负载特性、优化设备性能、改进生产流程并最大限度地提高能源效率。
        Delta Electronics DIAEnergie存在SQL注入漏洞,该漏洞源于ReadREGbyID缺少对外部输入SQL语句的验证。攻击者可利用该漏洞注入任意SQL查询、检索和修改数据库内容以及执行系统命令。

二、风险等级:
           高危
三、影响范围:
        Delta ElectronicsDIAEnergie <= 1.8.02.004
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
        https://www.deltaww.com/en/customerService
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 21:09

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表