找回密码
 注册创意安天

漏洞风险提示(20220704)

[复制链接]
发表于 2022-7-4 09:24 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 GitLab远程代码执行漏洞(CVE-2022-2185)
一、漏洞描述:     
        gitlab.jpg
        GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug 列表等。
        该漏洞是由于对授权用户导入的项目检测不完善,攻击者可利用该漏洞获得权限的情况下,构造恶意数据执行远程代码执行攻击,最终获取服务器最高权限。

二、风险等级:
           高危
三、影响范围:
        14.0 ≤ GitLab CE/EE < 14.10.5
        15.0 ≤ GitLab CE/EE < 15.0.4
        15.1 ≤  GitLab CE/EE < 15.1.1

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://packages.GitLab.com/GitLab/



2 Apache Shiro认证绕过漏洞(CVE-2022-32532)
一、漏洞描述:     
        shiro.jpg
        Apache Shiro 是一个可以提供身份验证、授权、密码学和会话管理等功能的开源安全框架。Shiro 框架不仅直观、易用,同时也能提供强大的安全性。
        该漏洞是由于 RegexRequestMatcher 不正当配置存在安全问题,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过 Shiro 的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。

二、风险等级:
           高危
三、影响范围:
        Apache Shiro < 1.9.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://shiro.apache.org/download.html



3 Spring Cloud Function拒绝服务漏洞(CVE-2022-22979)
一、漏洞描述:     
        spring.jpg
        Spring Cloud Function  是一个基于 Spring Boot 的函数计算框架。他具有以下高级目标:通过功能促进业务逻辑的实现,将业务逻辑的开发生命周期与任何特定的运行时目标脱钩,以便可以将相同的代码作为Web 终结点、流处理器或任务来运行;支持跨无服务器提供程序的统一编程模型,以及独立运行(本地或在 PaaS 中)的能力。
        攻击者可利用该漏洞在未授权的情况下,发送大量特制的 HTTP 请求触发漏洞攻击,将消耗大量服务器资源最终导致拒绝服务的后果。

二、风险等级:
           高危
三、影响范围:
        Spring Cloud Function < 3.2.6
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/spring-cloud/ ... releases/tag/v3.2.6



4 UnRAR路径遍历漏洞(CVE-2022-30333)
一、漏洞描述:     
        3.jpg
        UnRAR 是RarLab公司开发的用于提取RAR文件的程序。
        在UnRAR版本6.12之前,由于RAR在Windows 和 Unix解压路径上存在差异,导致不能防止符号链接攻击,可通过制作包含符号链接的恶意RAR 文件,实现在目标系统的任何位置写入任意文件。

二、风险等级:
           高危
三、影响范围:
        UnRAR < 6.12
        注:WinRAR 和 Android RAR 不受影响。

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.rarlab.com/download.htm
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 20:54

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表