雷神众测漏洞周报 2020.08.24-2020.08.30-4

  • A+
所属分类:安全新闻

声明

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。


目录

1、FasterXML jackson-databind高危漏洞

2、宝塔面板数据库管理未授权访问漏洞

3、QEMU USB模块越界读写漏洞

4、Citrix Systems XenMobile Server命令注入漏洞

漏洞详情

1.FasterXML jackson-databind高危漏洞


漏洞介绍:

2020年8月24日,安恒应急响应中心监测发现FasterXML jackson-databind发布了2.9.10.6版本和Issues更新,修复了包括br.com.anteros:Anteros-DBCP等组件库的多个反序列化漏洞,对应CVE编号:CVE-2020-24616。


漏洞危害:

根据Issues更新记录,2.9.10.6版本修复了
br.com.anteros:Anteros-DBCP、org.arrahtec:profiler-core、com.nqadmin.rowset:jdbcrowsetimpl
等多个组件库的反序列化漏洞,恶意攻击者成功利用漏洞可能实现远程代码执行效果,建议使用该组件包的系统及时升级到漏洞修复的版本。


漏洞编号:

CVE-2020-24616


影响范围:

jackson-databind反序列化漏洞(CVE-2020-24616)主要影响以下版本:
jackson-databind-2.9.10.6之前的2.x版本,建议更新到2.9.10.6以上版本。


修复方案:

目前漏洞细节和利用代码暂未公开,但jackson-databind之前已经被报过多次反序列化漏洞,恶意攻击者很容易通过补丁逆向分析和Issues描述定位到漏洞触发点,并进一步开发出利用代码,建议及时测试并升级到漏洞修复的版本。


来源:安恒应急响应中心

2.宝塔面板数据库管理未授权访问漏洞


漏洞介绍:
2020年8月23日宝塔面板官方发布了数据库未授权访问漏洞的风险通告,漏洞等级:严重。


漏洞危害:

宝塔面板存在数据库未授权访问的漏洞,远程攻击者通过访问特定路径,可以直接访问到phpmyadmin数据库管理页面,并可借此获取服务器系统权限。


影响范围:

宝塔面板Linux版本:7.4.2版本和测试版本7.5.14
宝塔面板Windows版本:6.8版本


修复建议:

宝塔面板Linux版本7.4.2版本升级到7.4.3版本
宝塔面板Linux测试版本7.5.14版本升级到7.5.15版本
宝塔面板Windows版本6.8版本升级到6.9.0版本


来源:360CERT

3.QEMU USB模块越界读写漏洞


漏洞介绍:

2020年8月25日qemu 发布了 qemu 内存越界漏洞 的风险通告,该漏洞编号为 CVE-2020-14364 ,漏洞等级:高危,漏洞评分:8.2。


漏洞危害:

攻击者通过 构造特殊的内存数据 ,可造成 虚拟机逃逸并执行任意代码的影响。


漏洞编号:

CVE-2020-14364


影响范围:

qemu:qemu : 全版本


修复建议:

及时测试并更新到漏洞修复的版本或升级版本


来源:360CERT

4.Citrix Systems XenMobile Server命令注入漏洞


漏洞介绍:

Citrix Systems XenMobile Server是美国思杰系统(Citrix Systems)公司的一套移动管理解决方案。该方案能够管理移动设备、制定移动策略和合规性规则、深入了解移动移动网络运行情况等。


漏洞危害:

Citrix Systems XenMobile Server存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。


漏洞编号:

CVE-2020-8211


影响范围:

Citrix Systems XenMobile Server <10.12 RP3
Citrix Systems XenMobile Server <10.11 RP6
Citrix Systems XenMobile Server <10.10 RP6
Citrix Systems XenMobile Server <10.9 RP5


修复建议:

及时测试并更新到漏洞修复的版本或升级版本


来源:CNVD


专注渗透测试技术

全球最新网络攻击技术


END

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: