找回密码
 注册创意安天

漏洞风险提示(20220524)

[复制链接]
发表于 2022-5-24 09:15 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Fastjson反序列化漏洞
一、漏洞描述:     
        fastjson.png
        Fastjson是阿里巴巴公司的一个开源java库,可用于将Java对象转换为其JSON表示,还可用于将JSON字符串转换为等效的Java对象,其性能从未被其他Java实现的JSON库超越。
        该漏洞是由于Fastjson在1.2.80及以下版本中使用黑白名单用于防御反序列化漏洞,但是该防御策略在特定条件下可绕过默认 autoType。恶意攻击者通过发送特制的反序列化数据至服务器,能够在目标系统上执行任意代码。

二、风险等级:
           高危
三、影响范围:
        Fastjson <= 1.2.80
四、修复建议:
        目前官方已发布更新补丁,请受影响用户及时升级到最新版本1.2.83,官方链接:
        https://github.com/alibaba/fastjson/releases/tag/1.2.83
        该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。
        也可升级到 Fastjson v2,Fastjson v2地址:
        https://github.com/alibaba/fastjson2/releases
        Fastjson 已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。Fastjson v2 代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。升级遇到问题,可以在 https://github.com/alibaba/fastjson2/issues 寻求帮助。
       
        临时修复建议:
        Fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响),开启方法可参考:
        https://github.com/alibaba/fastjson/wiki/fastjson_safemode



2 Oracle E-Business Suite信息泄露漏洞(CVE-2022-21500)
一、漏洞描述:     
        oracle.png
        Oracle E-Business Suite (EBS)是指 Oracle 提供的一组组合业务应用程序。它通常被称为 Oracle EBS、Oracle ERP 或 E-Biz。它由多个 Oracle 企业应用程序组成,可帮助具有各种流程的企业进行日常业务运营。
        该漏洞是由于未对HTTP请求进行正确的过滤,导致未经身份验证的攻击者可轻易的通过网络攻击Oracle E-Business Suite,从而访问系统关键信息和所有 Oracle E-Business Suite 可访问的数据。

二、风险等级:
           高危
三、影响范围:
        Oracle E-Business Suite 12.1
        Oracle E-Business Suite 12.2

四、修复建议:
        目前官方已发布更新补丁,请受影响用户及时关注并尽快更新,官方链接:
        https://www.oracle.com/security-alerts/alert-cve-2022-21500.html



3 Google-OAuth-Java-Client身份验证绕过漏洞(CVE-2021-22573)
一、漏洞描述:     
        google.png
        Google OAuth Client Library for Java是Google开发的一个强大且易于使用的开源Java库,用于OAuth 1.0a和OAuth 2.0授权标准。该Java库旨在与网络上的任何OAuth服务一起使用,并建立在Google HTTP Client Libraryfor Java之上。
        该漏洞是由于IDToken验证程序没有验证令牌是否正确签名,导致的身份验证绕过漏洞。攻击者可以通过构造具有自定义受损令牌负载,绕过Google-OAuth-Java-Client的身份验证,进而获取目标主机访问权限。

二、风险等级:
           高危
三、影响范围:
        Google-OAuth-Java-Client < v1.33.3
四、修复建议:
        目前官方已发布更新补丁,请受影响用户及时关注并尽快更新,官方链接:
        https://github.com/googleapis/google-oauth-java-client/releases



4 Mozilla任意代码执行漏洞(CVE-2022-1802)
一、漏洞描述:     
        Firefox.png
        Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。
        该漏洞是由于顶级wait在实现中出现原型污染造成的问题,攻击者可通过原型污染破坏JavaScript 中的数组对象的方法,从而在上下文中执行任意JavaScript代码。

二、风险等级:
           高危
三、影响范围:
        Firefox ESR < 91.9.1
        Mozilla Thunderbird < 91.9.1
        Mozilla Firefox < 100.0.2
        Firefox for Android < 100.3.0

四、修复建议:
        目前官方已发布更新补丁,请受影响用户及时关注并尽快更新,官方链接:
        https://www.firefox.com.cn/
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 20:56

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表