警惕!3月漏洞快报 | 泛微 e-cology9 SQL注入漏洞;MinIO信息泄露漏洞;Apache Dubbo反序列化漏洞

admin 2023年4月4日21:30:32评论36 views字数 7197阅读23分59秒阅读模式

警惕!3月漏洞快报 | 泛微 e-cology9  SQL注入漏洞;MinIO信息泄露漏洞;Apache Dubbo反序列化漏洞

近日,梆梆安全专家整理发布3月安全漏洞报告,主要涉及以下产品/组件GitLab、泛微 e-cology9PHP 、Apache HTTP Server、Jenkins、Fortinet FortiOS 、Apache Dubbo、Linux kernel 、Google Pixel  、Spring Framework、MinIO 、Apache OpenOffice、Apache Fineract 、Sudo建议相关用户及时采取措施做好资产自查与预防工作。

GitLab 跨站脚本漏洞

CVE-2023-0050

组件介绍

GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。

漏洞描述

3月2日,GitLab官方发布更新公告,修复了GitLab 社区版 (CE)和企业版(EE)中的一个跨站脚本漏洞。漏洞编号为CVE-2023-0050,漏洞危害等级为高危。

远程威胁者可以通过特制的Kroki图导致客户端的存储型XSS,成功触发该漏洞可能导致以受害者的身份执行任意操作。

影响范围

目前受影响的 GitLab  版本:

13.7 <= GitLab CE/EE < 15.7.8

15.8 <= GitLab CE/EE < 15.8.4

15.9 <= GitLab CE/EE < 15.9.2

官方修复建议

目前该漏洞已经修复,受影响用户可升级到安全版本。下载链接:

https://about.gitlab.com/update/

泛微e-cology9 SQL注入漏洞

组件介绍

泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。

警惕!3月漏洞快报 | 泛微 e-cology9  SQL注入漏洞;MinIO信息泄露漏洞;Apache Dubbo反序列化漏洞

漏洞描述

近日,泛微 e-cology9 协同办公系统版本<=10.55被披露存在SQL注入漏洞,攻击者利用该漏洞可以通过构造恶意数据包进行SQL注入,导致数据库敏感信息泄露、系统被攻击或被控制。

影响范围

目前受影响的 泛微e-cology9  版本:

泛微e-cology9<= 10.55

官方修复建议

目前该漏洞已经修复,受影响用户可参考官方补丁说明及时安装补丁。下载链接:

https://www.weaver.com.cn/cs/securityDownload.asp#

PHP Password_verify() 验证错误漏洞

CVE-2023-0567

组件介绍

PHP(PHP: Hypertext Preprocessor)即“超文本预处理器”,是在服务器端执行的脚本语言,尤其适用于Web开发并可嵌入HTML中。

警惕!3月漏洞快报 | 泛微 e-cology9  SQL注入漏洞;MinIO信息泄露漏洞;Apache Dubbo反序列化漏洞

漏洞描述

2023年3月6日,PHP 项目发布安全公告,修复了 PHP Password_verify()函数验证错误漏洞。漏洞编号:CVE-2023-0567,CVSSv3 评分:7.7,漏洞等级:高危,目前其漏洞细节及 PoC 已经公开披露。

Password_verify() 函数用于验证密码是否和散列值(hash)匹配。当对于格式错误的 BCrypt 散列如果在其salt部分中包含$,将触发缓冲区过度读取,并可能导致将任何密码验证为有效。攻击者成功利用该漏洞,可以将此类无效散列存储在数据库中(如通过 SQL 注入等),无需密码即可登录。

影响范围

目前受影响的 PHP  版本:

8.0.x <= PHP<= 8.0.28

8.1.x <= PHP<= 8.1.16

8.2.x <= PHP<= 8.2.3

官方修复建议

目前该漏洞已经修复,受影响用户可升级到安全版本。下载链接:https://github.com/php/php-src/tags

Apache HTTP Server 请求走私漏洞

CVE-2023-25690

组件介绍

Apache HTTP Server是 Apache 软件基金会的一个开放源代码的网页服务器,由于其具有跨平台性和安全性,被广泛使用,它是最流行的 Web 服务器端软件之一。

警惕!3月漏洞快报 | 泛微 e-cology9  SQL注入漏洞;MinIO信息泄露漏洞;Apache Dubbo反序列化漏洞

漏洞描述

2023年3月7日,Apache官方修复了Apache HTTP Server HTTP请求走私漏洞,漏洞编号:CVE-2023-25690。

Apache HTTP Server 版本2.4.0 - 2.4.55的某些mod_proxy配置可能导致HTTP请求走私攻击。攻击者成功利用该漏洞可以绕过代理服务器中的访问控制,将非预期的URL代理到现有源服务器,导致缓存中毒。

影响范围

目前受影响的 Apache HTTP Server  版本:

2.4.0<= Apache HTTP Server <= 2.4.55

官方修复建议

目前该漏洞已经修复,受影响用户可升级到2.4.56或更高版本。下载链接:https://httpd.apache.org/download.cgi

Jenkins 跨站脚本漏洞

CVE-2023-27898、CVE-2023-27905

组件介绍

Jenkins 是一个开源软件项目,是基于 Java 开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。

漏洞描述

2023年3月9日,Jenkins官方发布安全公告,修复了 Jenkins Server 和 Update Center 中发现的2个跨站脚本漏洞——CVE-2023-27898 和 CVE-2023-27905,统称为“CorePlague”。未经身份验证的威胁者可利用这些漏洞在受害者的 Jenkins Server上执行任意代码,可能导致 Jenkins Serve被完全破坏。

CVE-2023-27898:Jenkins Plugin Manager 跨站脚本漏洞(高危)

Jenkins 2.270-2.393、LTS 2.277.1- 2.375.3 在插件管理器中呈现错误消息,说明其与当前版本的 Jenkins 不兼容时,不会转义插件所依赖的 Jenkins 版本,可能导致受到存储型 XSS 漏洞攻击,攻击者可利用该漏洞向配置的更新站点提供插件,并让Jenkins实例显示此消息。

CVE-2023-27905:Jenkins update-center2 跨站脚本漏洞(中危)

update-center2 是用于生成 updates.Jenkins.io 上托管的Jenkins更新站点的工具。


update-center2 某些版本在插件下载索引页面上呈现所需的 Jenkins 核心版本,该版本取自插件元数据,未经清理,可能导致存储型XSS漏洞,但利用该漏洞需同时满足以下条件:


1.需要启用下载页面的生成(即--download-links-directory需要设置参数)。

2.必须使用自定义下载页面模板(--index-template-url参数),且所使用的模板不得通过Content-Security-Policy阻止JavaScript执行。默认模板通过声明一个限制性的Content-Security-Policy来防止利用。

影响范围

目前受影响的 Jenkins  版本:

Jenkins Server:2.270 - 2.393、LTS 2.277.1 - 2.375.3

Jenkins update-center2 <= 3.14

官方修复建议

目前该漏洞已经修复,受影响用户可升级到安全版本。

下载链接:https://www.jenkins.io/download/

Fortinet FortiOS 路径遍历漏洞

CVE-2022-41328

组件介绍

FortiOS 是 Fortinet(飞塔)旗舰产品 FortiGate 下一代防火墙使用的操作系统。

警惕!3月漏洞快报 | 泛微 e-cology9  SQL注入漏洞;MinIO信息泄露漏洞;Apache Dubbo反序列化漏洞

漏洞描述

2023年3月8日,Fortinet官方发布安全公告,修复了 FortiOS 路径遍历漏洞。漏洞编号:CVE-2022-41328,CVSSv3评分:7.1,漏洞等级:高危。

由于对路径名限制不当,FortiOS多个版本中存在路径遍历漏洞,可能导致特权威胁者通过精心设计的 CLI 命令在底层系统上读取和写入任意文件。

影响范围

目前受影响的 FortiOS  版本:

FortiOS 6.0:所有版本

FortiOS 6.2:所有版本

6.4.0 <= FortiOS <= 6.4.11

7.0.0 <= FortiOS <= 7.0.9

7.2.0 <= FortiOS <= 7.2.3

官方修复建议

目前该漏洞已经修复,受影响用户可升级到安全版本。下载链接:

https://www.fortinet.com/

Apache Dubbo 反序列化漏洞

CVE-2023-23638

组件介绍

Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架,旨在为构建企业级微服务提供框架、通信以及服务治理能力。

警惕!3月漏洞快报 | 泛微 e-cology9  SQL注入漏洞;MinIO信息泄露漏洞;Apache Dubbo反序列化漏洞

漏洞描述

2023年3月9日,Apache官方发布安全公告,修复了Apache Dubbo中的一个反序列化漏洞,漏洞编号为CVE-2023-23638,CVSSv3评分为9.8,漏洞等级为严重。

Apache Dubbo安全检查存在缺陷,可以绕过反序列化安全检查并执行反序列化攻击。攻击者成功利用该漏洞可在目标系统上执行任意代码。

影响范围

目前受影响的 Apache Dubbo  版本:

Apache Dubbo 2.7.x :<= 2.7.21

Apache Dubbo 3.0.x :<= 3.0.13

Apache Dubbo 3.1.x :<= 3.1.5

官方修复建议

目前该漏洞已经修复,受影响用户可升级到更高版本。

下载链接:https://github.com/apache/dubbo/tags

Linux kernel 释放后使用漏洞

CVE-2023-28466

组件介绍

Linux Kernel 是开源操作系统 Linux 所使用的内核。

漏洞描述

2023年3月17日,Red Hat官方发布安全公告,披露了Linux kernel中一个可能导致释放后使用的漏洞。该漏洞漏洞编号:CVE-2023-28466,CVSSv3评分:7.0,漏洞等级为高危。

由于 Linux kernel 版本<=6.2.6中的net/tls/tls_main.c 中的 do_tls_getsockopt 缺少 lock_sock 调用,导致竞争条件,可能导致释放后使用或NULL 指针取消引用。

影响范围

目前受影响的 Linux kernel  版本:

Linux kernel <= 6.2.6

官方修复建议

目前该漏洞已经修复,受影响用户可及时安装补丁。

补丁链接:

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit?id=49c47cc21b5b7a3d8deb18fc57b0aa2ab1286962

Google Pixel 信息泄露漏洞

CVE-2023-21036

组件介绍

谷歌 Pixel 是一款谷歌品牌的手机。

警惕!3月漏洞快报 | 泛微 e-cology9  SQL注入漏洞;MinIO信息泄露漏洞;Apache Dubbo反序列化漏洞

漏洞描述

2023年3月21日,Google Android 开源项目发布安全公告,修复了 Google Pixel 中被称为“Acropalypse”的漏洞。该漏洞漏洞编号:CVE-2023-21036,漏洞等级:高危。

由于Google Pixel 手机的内置屏幕截图编辑工具 Markup中存在漏洞,导致可能恢复过去5年的裁剪或屏幕截图的原始、未经编辑的图像数据, 该漏洞可能会泄露图像创建者在与他人共享媒体或在线发布媒体之前使用 Pixel 的标记工具编辑的敏感信息。

影响范围

目前受影响的 Pixel  版本:

Pixel 型号:>=运行 Android 9 Pie


注:Google 已经发布了2023 年 3 月的 Pixel 4a、5a、7 和 7 Pro 安全更新。此外,该漏洞还会影响使用第三方Android 发行版的非 Pixel 智能手机(这些发行版使用Markup工具进行屏幕截图/图像编辑)。

官方修复建议

Google Android开源项目已经在2023年3月安全更新中修复了该漏洞,受影响用户可升级到最新版本。下载链接:

https://source.android.com/?hl=zh-cn

Spring Framework 安全绕过漏洞

CVE-2023-20860

组件介绍

Spring Framework 是 Spring 里面的一个基础开源框架,主要用于 javaEE 的企业开发。

警惕!3月漏洞快报 | 泛微 e-cology9  SQL注入漏洞;MinIO信息泄露漏洞;Apache Dubbo反序列化漏洞

漏洞描述

2023年3月22日,Spring项目发布安全公告,修复了Spring Framework中的一个安全绕过漏洞。该漏洞漏洞编号:CVE-2023-20860,CVSSv3评分:9.1,漏洞等级:严重。

在带有 mvcRequestMatcher 的 Spring Security 配置中使用无前缀双通配符模式会导致Spring Security和Spring MVC之间的模式匹配不匹配,并可能导致安全绕过。

影响范围

目前受影响的 Spring Framework  版本:

Spring Framework version 6.0.0 - 6.0.6

Spring Framework version 5.3.0 - 5.3.25

注:5.3 之前的版本不受影响。

官方修复建议

官方已发布针对该漏洞的更新,受影响用户可下载安全版本进行修复。下载连接:

https://spring.io/projects/spring-framework

MinIO 信息泄露漏洞

CVE-2023-28432

组件介绍

MinIO 提供高性能、与S3 兼容的对象存储系统,让你自己能够构建自己的云储存服务。

警惕!3月漏洞快报 | 泛微 e-cology9  SQL注入漏洞;MinIO信息泄露漏洞;Apache Dubbo反序列化漏洞

漏洞描述

2023年03月23日,MinIO 发布了 MinIO 的风险通告,漏洞编号:CVE-2023-28432,CVSSv3评分:8,漏洞等级:高危。

在集群部署的MinIO中,未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量,其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,造成敏感信息泄露,最终可能导致攻击者以管理员身份登录 MinIO。

影响范围

目前受影响的 MinIO  版本:

RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z

官方修复建议

目前官方已发布安全修复版本,受影响用户可以升级到 RELEASE.2023-03-20T20-16-18Z 及以上版本。下载链接:

https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

Apache OpenOffice 任意脚本执行漏洞

CVE-2022-47502

组件介绍

Apache OpenOffice是一款先进的开源 办公软件套件,它包含文本文档、电子表格、演示文稿、绘图、数据库等。它能够支持许多语言并且在所有普通计算机上工作。

警惕!3月漏洞快报 | 泛微 e-cology9  SQL注入漏洞;MinIO信息泄露漏洞;Apache Dubbo反序列化漏洞

漏洞描述

2023年3月27日,Apache 发布安全公告,修复了 Apache OpenOffice 中的任意脚本执行漏洞。漏洞编号:CVE-2022-47502,CVSSv3评分:7.8,漏洞等级:高危。

由于 Apache OpenOffice 文档可以通过包含任意参数的链接调用内部宏(通过预定义 URL),链接可以通过点击或自动文档事件激活,但需要用户交互,攻击者成功触发此类链接可能导致任意脚本执行。

影响范围

目前受影响的 Apache OpenOffice  版本:

Apache OpenOffice <= 4.1.13

官方修复建议

目前该漏洞已经修复,受影响用户可升级到 Apache OpenOffice 版本 4.1.14及以上。下载链接:

https://www.openoffice.org/download/

Apache Fineract SQL注入漏洞

CVE-2023-25196

组件介绍

Apache Fineract 是一个开源的系统,用于核心银行系统平台化建设。为创业者、金融机构和服务提供商提供了一个可靠、健壮的、可负担得起的金融服务解决方案。

警惕!3月漏洞快报 | 泛微 e-cology9  SQL注入漏洞;MinIO信息泄露漏洞;Apache Dubbo反序列化漏洞

漏洞描述

2023年3月28日,Apache 官方发布安全公告,修复了 Apache Fineract SQL注入漏洞。漏洞编号:CVE-2023-25196,漏洞等级:高危。

由于 Apache Fineract 版本 1.4 - 1.8.2 中存在 SQL 注入漏洞,授权用户可利用该漏洞更改或添加某些组件中的数据。

影响范围

目前受影响的 Apache Fineract 版本:

1.4 - 1.8.2

官方修复建议

目前这些漏洞已经修复,受影响用户可升级到 1.8.4 及更高版本。下载链接:

https://fineract.apache.org/#downloads

Sudo 权限提升漏洞

CVE-2023-22809

组件介绍

Sudo 允许一个已授权用户以超级用户或者其它用户的角色运行一个命令。

漏洞描述

2023年3月30日,Sudo修复了一个权限提升漏洞。漏洞编号:CVE-2023-22809,CVSSv3 评分:7.8,漏洞等级为高危。


Sudo 版本 1.8.0 - 1.9.12p1 中,Sudo 的 -e 选项(又名 sudoedit)功能对用户提供的环境变量(Sudo_EDITOR、VISUAL和EDITOR)中传递的额外参数处理不当,具有 sudoedit 访问权限的本地用户可以通过在要处理的文件列表中添加任意条目后编辑未经授权的文件来触发该漏洞,可能导致权限提升。如果指定的编辑器包含使保护机制失效的“--”参数(绕过 sudoers 策略),则易受该漏洞影响。

影响范围

目前受影响的 Sudo 版本:

1.8.0 - 1.9.12p1

官方修复建议

目前该漏洞已经修复,受影响用户可升级到1.9.12p2或更高版本。下载链接:

https://www.sudo.ws/releases/stable/


推荐阅读


Recommended

>再添国家级认证!梆梆安全成为首家国家级安全运营类一级移动安全企业

>直播回顾 | 数安有为——梆梆安全移动应用安全前沿实践:基于端到端的全渠道安全解决方案

>数智新动能 产业新发展 | 梆梆安全董事长阚志刚出席首届中国数字经济产业发展大会并发表主题演讲!


警惕!3月漏洞快报 | 泛微 e-cology9  SQL注入漏洞;MinIO信息泄露漏洞;Apache Dubbo反序列化漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月4日21:30:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   警惕!3月漏洞快报 | 泛微 e-cology9 SQL注入漏洞;MinIO信息泄露漏洞;Apache Dubbo反序列化漏洞https://cn-sec.com/archives/1652071.html

发表评论

匿名网友 填写信息