根据国家信息安全漏洞库(CNNVD)统计,本周(2021. 4.26~2021.5.2)CNNVD接报漏洞1369个,信息技术产品漏洞(通用型漏洞)36个,网络信息系统漏洞(事件型漏洞)1333个。CNNVD接报漏洞预警66份,其中华云安报送预警6份,预警报送数量持续位列前三!(数据来源于CNNVD)
本周重点关注漏洞包括:Webmin 多个安全漏洞、CVE-2020-17517-Apache Ozone 未授权访问漏洞、CVE-2020-28588-Linux Kernel 信息泄露漏洞、Apache OFBiz远程代码执行漏洞、CVE-2021-31607-SaltStack Minion 命令注入漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
Webmin 多个安全漏洞
威胁等级:高危
2021 年 4月26日,华云安思境安全团队发现 Webmin 官方发布安全更新,披露了 Webmin 组件中存在三处远程代码执行漏洞。Webmin 是用于类似 Unix 的系统的基于 Web 的系统配置工具,也可以在 Microsoft Windows 上安装和运行最新版本。成功利用此漏洞攻击者可以发送构造的恶意请求,进行CSRF攻击,最终实现对Webmin的远程命令执行。也可通过Webmin的添加用户功能创建特权用户,然后通过特权用户权限反弹shell。
情报来源:
https://www.webmin.com/security.html
CVE-2020-17517-Apache Ozone 未授权访问漏洞
威胁等级:中危
2021年4月27日,华云安思境安全团队发现 Apache Ozone 组件中存在一处未授权访问漏洞。Ozone 是当前 Apache Hadoop 生态圈的一款新的对象存储系统,可用于小文件和大文件存储,能够提供百亿甚至千亿级文件规模的存储。成功利用此漏洞可允许攻击者通过curl命令或未经身份验证的HTTP请求访问buckets和keys,从而造成数据泄露。
情报来源:
https://www.openwall.com/lists/oss-security/2021/04/27/1
CVE-2020-28588-Linux Kernel 信息泄露漏洞
威胁等级:高危
2021年4月27日,华云安思境安全团队发现 Linux 内核中被曝出存在一处信息泄露漏洞。linux kernel 一般指 Linux 内核,Linux 是一种开源电脑操作系统内核,它是一个用C语言写成,符合 POSIX 标准的类 Unix 操作系统。该漏洞存在于运行 Linux 的32位 ARM 设备的 /proc/pid/syscall 功能中,由于数值类型之间的错误转换,成功利用此漏洞攻击者可以查看内核堆栈内存信息或利用其它未修复的 Linux 漏洞。
情报来源:
https://blog.talosintelligence.com/2021/04/vuln-spotlight-linux-kernel.html
Apache OFBiz 远程代码执行漏洞
威胁等级:超危
2021年4月28日,华云安思境安全团队发现 Apache 官方发布安全更新,披露了 Apache OFBiz 组件中存在两处远程代码执行漏洞。Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。由于 Apache OFBiz 未对用户的输入做合法的过滤存在不安全的反序列化,以至于攻击者可以构造恶意数据,执行任意代码,从而获取服务器权限。
情报来源:
https://www.mail-archive.com/[email protected]/msg06506.html
https://www.mail-archive.com/[email protected]/msg06507.html
CVE-2021-31607-SaltStack Minion 命令注入漏洞
威胁等级:中危
2021年4月28日,华云安思境安全团队发现 Salt 官方发布安全更新,披露了 SaltStack Salt 组件中存在一处命令注入漏洞。Saltstack 是一个具备 puppet 与 func 功能为一身的集中化管理平台,Saltstack 基于 python 实现,功能十分强大,各模块融合度及复用性极高。成功利用此漏洞攻击者可在获得权限的情况下,对一个分支系统的本地特权进行升级。
情报来源:
https://repo.saltproject.io/index.html
进入华云安漏洞情报平台参阅详情
华云安
华云安是一家面向网络空间安全领域,专注于漏洞研究、攻防对抗、产品研发、安全服务的高新技术企业。公司在漏洞管理和威胁治理方面具备深厚的技术积累。拥有灵洞自适应威胁与漏洞管理系统、灵刃智能化渗透攻防系统等网络安全产品及服务,为政府、金融、能源、教育、医疗等行业,提供集网络安全情报采集分析能力、 关键信息基础设施防御能力、网络安全反制能力于一体的新一代云原生安全产品解决方案。实现威胁管理、攻击模拟、溯源分析、端点防御等一体化安全运营管理能力。华云安致力于为新形势下的网络安全和关键信息基础设施保护作出自身的贡献!
来源:freebuf.com 2021-05-10 13:03:26 by: 华云安huaun
请登录后发表评论
注册