根据国家信息安全漏洞库(CNNVD)统计,本周(2021. 2.15~2021.2.21)CNNVD 接报漏洞1493个,信息技术产品漏洞(通用型漏洞)13个,网络信息系统漏洞(事件型漏洞)1480个。CNNVD接报漏洞预警6份,其中华云安报送预警2份,预警报送数量位列第一。(数据来源于CNNVD)
本周重点关注漏洞包括 CVE-2021-20194- Linux kernel 安全漏洞、CVE-2021-1372- Cisco Webex Meetings Desktop App 和 Webex Productivity Tools 安全漏洞、 CVE-2021-26296- Apache MyFaces 跨站脚本漏洞、CVE-2021-21050- Adobe Photoshop 缓冲区错误漏洞、CVE-2021-20354- WebSphere ApplicationServer 目录遍历漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
CVE-2021-20194- Linux kernel 安全漏洞
发布时间:2021年2月15日
Linux kernel被曝出存在缓冲区错误漏洞,Linux kernel是Linux基金会的开源操作系统Linux所使用的内核。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出。
情报来源:
CVE-2021-1372- Cisco Webex Meetings Desktop App 和 Webex Productivity Tools 安全漏洞
发布时间:2021年2月17日
Cisco 官方披露了 Cisco Webex Meetings Desktop App 和 Webex Productivity Tools中存在信息泄露漏洞,Cisco Webex Meetings Desktop App 是思科(Cisco)公司的一款使用在桌面环境上的视频会议控制应用程序。该漏洞源于网络系统或产品在运行过程中存在配置错误等。未授权的攻击者可利用漏洞获取受影响组件敏感信息。
情报来源:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wda-pt-msh-6LWOcZ5
CVE-2021-26296- Apache MyFaces 跨站脚本漏洞
发布时间:2021年2月18日
Apache MyFaces 中存在跨站请求伪造漏洞。Apache MyFaces Trinidad 是 Apache 基金会的一款包含大量的企业级组件库并支持附件的 JSF 框架。该漏洞源于 WEB 应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
情报来源:
https://access.redhat.com/security/cve/cve-2021-26296
CVE-2021-21050– Adobe Photoshop 缓冲区错误漏洞
发布时间:2021年2月18日
Adobe 官方发布漏洞安全更新,披露了 Adobe Photoshop 中存在缓冲区错误漏洞,Adobe Photoshop,简称“PS”,是由Adobe Systems开发和发行的图像处理软件,主要处理以像素所构成的数字图像。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出。
情报来源:
https://helpx.adobe.com/security/products/photoshop/apsb21-10.html
CVE-2021-20354– WebSphere ApplicationServer 目录遍历漏洞
发布时间:2021年2月19日
2021年2月19日,华云安安全团队发现 IBM 官方发布了旗下产品 WebSphereApplication Server 目录遍历漏洞的通告。IBM WebSphere Application Server(WAS) 是由 IBM 遵照开放标准,例如 Java EE、Xml 及 Web Services 开发并发行的一种应用服务器。攻击者可以发送特制的 URL 请求,其中包含“/../”序列,以查看目标系统上的任意文件。
情报来源:
https://www.ibm.com/support/pages/node/6415901
华云安
华云安是一家面向网络空间安全领域,专注于漏洞研究、攻防对抗、产品研发、安全服务的高新技术企业。公司在漏洞管理和威胁治理方面具备深厚的技术积累。拥有灵洞自适应威胁与漏洞管理系统、灵刃智能化渗透攻防系统等网络安全产品及服务,为政府、金融、能源、教育、医疗等行业,提供集网络安全情报采集分析能力、 关键信息基础设施防御能力、网络安全反制能力于一体的新一代云原生安全产品解决方案。实现威胁管理、攻击模拟、溯源分析、端点防御等一体化安全运营管理能力。华云安致力于为新形势下的网络安全和关键信息基础设施保护作出自身的贡献!
来源:freebuf.com 2021-02-24 17:26:20 by: 华云安huaun
请登录后发表评论
注册