免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache Commons Configuration远程代码执行漏洞 (CVE-2022-33980)
一、漏洞描述:
Apache Commons Configuration 是 Apache 基金会下的一个开源项目组件。它提供了一种通用的方式,让 Java 开发者可以使用统一的接口读取不同类型的配置文件。
该漏洞是由于Apache Commons Configuration 在执行变量interpolation时,允许动态评估和扩展属性,interpolation的标准格式为“${prefix:name}”,其中“prefix”用于定位执行interpolation的 org.apache.commons.configuration2.interpol.Lookup类。当用户调用Lookup类时可能导致攻击者执行任意代码或远程连接服务器。
二、风险等级:
高危
三、影响范围:
2.4 <= Apache Commons Configuration <= 2.7
四、修复建议:
官方已发布安全版本,请及时下载更新,下载地址:
https://commons.apache.org/prope ... d_configuration.cgi
2 Atlassian Jira 服务端请求伪造漏洞 (CVE-2022-26135)
一、漏洞描述:
Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。
该漏洞是经过身份验证的远程攻击者可通过向Jira Core REST API发送特制请求,从而伪造服务端发起请求,从而导致敏感信息泄露,同时为下一步攻击利用提供条件。需注意的是,若服务端开启注册功能,则未授权用户可通过注册获取权限进而利用。
二、风险等级:
高危
三、影响范围:
8.0 <= Jira Core Server/Jira Software Server/Jira Software Data Center < 8.13.22
Jira Core Server/Jira Software Server/Jira Software Data Center 8.14.x
Jira Core Server/Jira Software Server/Jira Software Data Center 8.15.x
Jira Core Server/Jira Software Server/Jira Software Data Center 8.16.x
Jira Core Server/Jira Software Server/Jira Software Data Center 8.17.x
Jira Core Server/Jira Software Server/Jira Software Data Center 8.18.x
Jira Core Server/Jira Software Server/Jira Software Data Center 8.19.x
8.20 <= Jira Core Server/Jira Software Server/Jira Software Data Center < 8.20.10
Jira Core Server/Jira Software Server/Jira Software Data Center 8.21.x
8.22.0 <= Jira Core Server/Jira Software Server/Jira Software Data Center < 8.22.4
4.0 <= Jira Service Management Server/Data Center < 4.13.22
Jira Service Management Server/Data Center 4.14.x
Jira Service Management Server/Data Center 4.15.x
Jira Service Management Server/Data Center 4.16.x
Jira Service Management Server/Data Center 4.17.x
Jira Service Management Server/Data Center 4.18.x
Jira Service Management Server/Data Center 4.19.x
4.20.0 <= Jira Service Management Server/Data Center < 4.20.10
Jira Service Management Server/Data Center 4.21.x
4.22.0 <= Jira Service Management Server/Data Center < 4.22.4
四、修复建议:
官方已发布安全版本,请及时下载更新,下载地址:
https://www.atlassian.com/software/jira/core/download
https://www.atlassian.com/software/jira/service-management/update
3 OpenSSL RSA远程代码执行漏洞(CVE-2022-2274)
一、漏洞描述:
OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及 SSL 协议,并提供丰富的应用程序供测试或其它目的使用,是实现安全套接字层(SSL v2 / v3)和传输层安全(TLS v1)网络协议及其所需的相关加密标准的加密工具包。
该漏洞是由于 OpenSSL 3.0.4 版本在支持 AVX512IFMA 指令的 X86_64 CPU 的 RSA 实现中引入了一个严重错误导致了内存损坏,攻击者利用该漏洞可能会在执行计算的机器上触发远程代码执行。
二、风险等级:
高危
三、影响范围:
OpenSSL RSA ≤ 3.0.4
四、修复建议:
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
http://openssl.org/
4 Chrome 远程代码执行漏洞(CVE-2022-2294)
一、漏洞描述:
Google Chrome 是全球主流的免费浏览器之一,用户群体广泛,具有快速、高效、安全等特点。
该漏洞是由于 Google Chrome WebRTC (网络实时通信)组件中存在基于堆的缓冲区溢出漏洞。攻击者可利用该漏洞,构造恶意数据造成缓冲区溢出攻击,并执行远程代码。
二、风险等级:
高危
三、影响范围:
Google Chrome Desktop < 103.0.5060.114
Google Chrome Extended < 102.0.5005.148
Google Chrome Android < 103.0.5060.71
四、修复建议:
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://chromereleases.googleblo ... nel-update-for.html |