免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Microsoft SharePoint Server远程代码执行漏洞(CVE-2022-29108)
一、漏洞描述:
Microsoft SharePoint是美国微软(Microsoft)公司的一套企业业务协作平台。该平台用于对业务信息进行整合,并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。
Microsoft SharePoint Server 存在远程代码执行漏洞。该漏洞的存在是由于 Microsoft SharePoint Server 中的输入验证不正确。经过身份验证并拥有创建页面的权限的远程用户可以发送特制请求并在目标系统上执行任意代码。成功利用此漏洞可能会导致易受攻击的系统完全攻陷。
二、风险等级:
高危
三、影响范围:
Windows 8.1
Windows 10 Version 1607, 1809,1909, 2004, 20H2, 21H1, 21H2
Windows 11
Windows Server 2008,2012,2016,2019,2022
四、修复建议:
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://msrc.microsoft.com/update-guide/releaseNote/2022-May
2 Spring Security身份认证绕过漏洞(CVE-2022-22975)
一、漏洞描述:
VMware Spring Security是美国威睿(VMware )公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。
在 Spring Security 版本 5.5.6 和 5.5.7 以及更早的不受支持的版本中,RegexRequestMatcher 很容易被错误配置,如果RegexRequestMatcher中使用的正则表达式带有".",应用程序的访问限制容易被绕过。
二、风险等级:
高危
三、影响范围:
Spring Security 5.5.0 - 5.5.7
Spring Security 5.6.0 - 5.6.4
Spring Security 更早的不受支持的版本
四、修复建议:
官方已发布安全版本,请及时下载更新,下载参考地址:
https://docs.spring.io/spring-se ... pring-security.html
3 Spring Security整数溢出漏洞(CVE-2022-22976)
一、漏洞描述:
VMware Spring Security是美国威睿(VMware )公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。
Spring Security 5.5.7 之前的版本 5.5.x、5.6.4 之前的 5.6.x 以及更早的不受支持的版本包含整数溢出漏洞。当使用具有最大工作因子 (31) 的 BCrypt 类时,由于整数溢出错误,编码器不会执行任何加盐操作。
二、风险等级:
中危
三、影响范围:
Spring Security 5.5.0 - 5.5.7
Spring Security 5.6.0 - 5.6.4
Spring Security 更早的不受支持的版本
四、修复建议:
官方已发布安全版本,请及时下载更新,下载参考地址:
https://docs.spring.io/spring-se ... pring-security.html
4 OpenSSL证书认证错误漏洞(CVE-2022-1343)
一、漏洞描述:
OpenSSL是一个开放源代码的安全套接字层密码库包,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页及应用服务器上。
该漏洞由于OCSP_basic_verify函数在验证某些签名证书时存在错误,恶意攻击者可利用该漏洞在未授权的情况下执行证书欺骗攻击,最终导致非法响应签名证书验证成功。
二、风险等级:
中危
三、影响范围:
OpenSSL 3.0.0、3.0.1、3.0.2
四、修复建议:
官方已发布安全版本,请及时下载更新,下载参考地址:
https://www.openssl.org/source |
发表于 2022-5-18 09:15
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡