關(guān)于XStream拒絕服務(wù)漏洞的預(yù)警通報(bào)

發(fā)布日期：2024-11-12

[2024]021號(hào)

漏洞描述

2024年11月12日監(jiān)測(cè)發(fā)現(xiàn)XStream存在拒絕服務(wù)漏洞(CVE-2024-47072)，該漏洞是由于當(dāng)XStream 配置為使用 BinaryStreamDriver時(shí)，反序列化某些特定輸入時(shí)處理不當(dāng)，導(dǎo)致攻擊者可以通過構(gòu)造特定的二進(jìn)制數(shù)據(jù)流作為輸入，從而在反序列化時(shí)進(jìn)入無限遞歸，觸發(fā)棧溢出，使得應(yīng)用程序崩潰并導(dǎo)致服務(wù)中斷，造成拒絕服務(wù)。

XStream 是一個(gè)用于在 Java 對(duì)象和 XML 之間相互轉(zhuǎn)換的工具，它能夠?qū)?Java 對(duì)象序列化為 XML 或 JSON 格式，也可以將 XML 或 JSON 格式的數(shù)據(jù)反序列化為 Java 對(duì)象，從而簡(jiǎn)化了數(shù)據(jù)的存儲(chǔ)、傳輸和恢復(fù)。BinaryStreamDriver是XStream提供的一個(gè)驅(qū)動(dòng)，它使用了一種優(yōu)化的二進(jìn)制格式來進(jìn)行序列化與反序列化操作。

漏洞編號(hào)

CVE-2024-47072

漏洞危害

允許遠(yuǎn)程攻擊者利用這一漏洞，僅通過操縱已處理的輸入流來終止應(yīng)用程序，并顯示堆棧溢出錯(cuò)誤，從而導(dǎo)致拒絕服務(wù)。

漏洞等級(jí)

高危
受影響版本

XStream < 1.4.21

修復(fù)方案

目前該漏洞已經(jīng)修復(fù)，受影響用戶可升級(jí)到以下版本：

XStream >= 1.4.21

https://x-stream.github.io/download.html

參考鏈接

https://x-stream.github.io/CVE-2024-47072.html

關(guān)于Apache ZooKeeper身份驗(yàn)證繞過漏洞的預(yù)警通報(bào)

發(fā)布日期：2024-11-12

[2024]020號(hào)

漏洞描述

2024年11月12日監(jiān)測(cè)發(fā)現(xiàn)Apache ZooKeeper存在身份驗(yàn)證繞過漏洞(CVE-2024-51504)，該漏洞是由于ZooKeeper Admin Server中使用的IPAuthenticationProvider配置不當(dāng)，導(dǎo)致使用了可被輕易偽造的HTTP請(qǐng)求頭（如X-Forwarded-For）來檢測(cè)客戶端IP地址，攻擊者可通過偽造請(qǐng)求頭中的IP地址來繞過身份驗(yàn)證，進(jìn)而實(shí)現(xiàn)未授權(quán)訪問管理服務(wù)器功能并任意執(zhí)行管理服務(wù)器命令（例如快照和恢復(fù)），從而可能導(dǎo)致信息泄露或服務(wù)可用性問題。

Apache ZooKeeper是一個(gè)分布式協(xié)調(diào)服務(wù)，主要用于管理大型分布式系統(tǒng)中的數(shù)據(jù)和狀態(tài)，它提供了高效的分布式鎖、配置管理、命名服務(wù)和集群管理功能，通過簡(jiǎn)單的接口支持分布式應(yīng)用實(shí)現(xiàn)一致性和協(xié)調(diào)。ZooKeeper通常用于保障分布式應(yīng)用的高可用性和數(shù)據(jù)一致性，適用于如Hadoop、Kafka、HBase等系統(tǒng)，幫助協(xié)調(diào)各個(gè)節(jié)點(diǎn)的狀態(tài)和操作，避免沖突和數(shù)據(jù)不一致問題。

漏洞編號(hào)

CVE-2024-51504

漏洞危害

攻擊者利用這一漏洞可以通過偽造 X-Forwarded-For 頭中的 IP 地址來繞過身份驗(yàn)證，通過 Admin Server 的校驗(yàn)，從而獲得使用特權(quán)命令。

漏洞等級(jí)

高危
受影響版本

3.9.0 <= Apache ZooKeeper < 3.9.3

修復(fù)方案

將組件 org.apache.zookeeper:zookeeper 升級(jí)至 3.9.3 及以上版本。

將組件 zookeeper 升級(jí)至 3.9.3 及以上版本。

https://zookeeper.apache.org/releases.html

參考鏈接

https://nvd.nist.gov/vuln/detail/CVE-2024-51504

https://seclists.org/oss-sec/2024/q4/60

關(guān)于Zabbix-監(jiān)控系統(tǒng)組件存在SQL注入漏洞的預(yù)警通報(bào)

發(fā)布日期：2024-7-8

漏洞描述

2024年7月8日監(jiān)測(cè)發(fā)現(xiàn)Zabbix-監(jiān)控系統(tǒng)組件存在SQL注入漏洞（CVE-2024-22120），該漏洞是由于clientip字段未經(jīng)清理，可能導(dǎo)致SQL時(shí)間盲注攻擊，經(jīng)過身份驗(yàn)證的威脅者可利用該漏洞從數(shù)據(jù)庫(kù)中獲取敏感信息，并可能導(dǎo)致將權(quán)限提升為管理員或?qū)е逻h(yuǎn)程代碼執(zhí)行。

Zabbix是一個(gè)基于WEB界面的提供分布式系統(tǒng)監(jiān)視以及網(wǎng)絡(luò)監(jiān)視功能的企業(yè)級(jí)的開源解決方案。

漏洞編號(hào)

CVE-2024-22120

漏洞危害

攻擊者可能利用這一漏洞從數(shù)據(jù)庫(kù)中獲取敏感信息，并可能導(dǎo)致將權(quán)限提升為管理員或?qū)е逻h(yuǎn)程代碼執(zhí)行。

漏洞等級(jí)

高危
受影響版本

6.0.0≤Zabbixserver≤6.0.27

6.4.0≤Zabbixserver≤6.4.12

7.0.0alpha1≤Zabbixserver≤7.0.0beta1

修復(fù)方案

官方已發(fā)布了漏洞修復(fù)方案，建議受影響用戶升級(jí)至安全版本。

https://www.zabbix.com/download
參考鏈接

https://support.zabbix.com/browse/ZBX-24505

禪道項(xiàng)目管理系統(tǒng)身份認(rèn)證繞過

漏洞預(yù)警通報(bào)

發(fā)布日期：2024-6-7

[2024]008號(hào)

漏洞描述

2024年6月5日公司監(jiān)測(cè)到禪道項(xiàng)目管理系統(tǒng)身份認(rèn)證繞過漏洞。禪道是第一款國(guó)產(chǎn)的開源項(xiàng)目管理軟件，它的核心管理思想基于敏捷方法 scrum，內(nèi)置了產(chǎn)品管理和項(xiàng)目管理，同時(shí)又根據(jù)國(guó)內(nèi)研發(fā)現(xiàn)狀補(bǔ)充了測(cè)試管理、計(jì)劃管理、發(fā)布管理、文檔管理、事務(wù)管理等功能，在一個(gè)軟件中就可以將軟件研發(fā)中的需求、任務(wù)、bug、用例、計(jì)劃、發(fā)布等要素有序地跟蹤管理起來，完整地覆蓋了項(xiàng)目管理的核心流程。禪道項(xiàng)目管理系統(tǒng)存在身份認(rèn)證繞過漏洞，遠(yuǎn)程攻擊者利用該漏洞可以繞過身份認(rèn)證，調(diào)用任意API接口并修改管理員用戶的密碼，并以管理員用戶登錄該系統(tǒng)，配合其他漏洞進(jìn)一步利用后，可以實(shí)現(xiàn)完全接管服務(wù)器。

漏洞編號(hào)

DVB-2024-6957

漏洞危害

該漏洞允許未授權(quán)用戶繞過正常認(rèn)證流程，創(chuàng)建管理員賬戶并接管后臺(tái)，進(jìn)而可能利用其他后臺(tái)漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，嚴(yán)重威脅系統(tǒng)安全，可能導(dǎo)致數(shù)據(jù)泄露、勒索或更廣泛的網(wǎng)絡(luò)攻擊。

漏洞等級(jí)

嚴(yán)重

影響范圍：

v16.x <= 禪道 < v18.12 （開源版）

v6.x <= 禪道 < v8.12 （企業(yè)版）

v3.x <= 禪道 < v4.12 （旗艦版）

修復(fù)方案

目前該漏洞已在官方最新版本中進(jìn)行了更新修復(fù)，請(qǐng)相關(guān)用戶盡快升級(jí)到最新版本。

鏈接如下：

https://www.zentao.net/

由市教委指導(dǎo)，北京聯(lián)合大學(xué)牽頭，依托在京網(wǎng)絡(luò)安全方面有特長(zhǎng)的高校成立“北京教育行業(yè)SRC平臺(tái)”。旨在完善全市教育系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)機(jī)制，形成統(tǒng)一網(wǎng)絡(luò)安全漏洞通報(bào)、統(tǒng)一網(wǎng)絡(luò)安全事件協(xié)調(diào)處置、統(tǒng)一網(wǎng)絡(luò)安全工作聯(lián)絡(luò)的“三統(tǒng)一”協(xié)調(diào)機(jī)制，構(gòu)建網(wǎng)絡(luò)安全治理新機(jī)制、新模式。

北京禹宏信安科技有限公司自成立以來，深耕教育行業(yè)。致力于為客戶提供最前沿、最全面的網(wǎng)絡(luò)安全、數(shù)據(jù)安全服務(wù)與解決方案。在“北京教育行業(yè)SRC平臺(tái)”建設(shè)與籌備中，根據(jù)平臺(tái)需求和特點(diǎn)，協(xié)助開發(fā)和建設(shè)，并持續(xù)為平臺(tái)運(yùn)維提供技術(shù)支撐，共同探索和構(gòu)建北京市教育系統(tǒng)網(wǎng)絡(luò)安全漏洞管理新機(jī)制、新模式，在提高網(wǎng)絡(luò)安全人才素質(zhì)和教育行業(yè)網(wǎng)絡(luò)安全防御水平方面發(fā)揮積極作用。

（信息來源：北京聯(lián)合大學(xué)）

關(guān)于MySQL2 readCodeFor存在遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警通告

發(fā)布日期：2024-4-24

[2024]008號(hào)

漏洞描述

2024年4月24日公司監(jiān)測(cè)到關(guān)于MySQL2 readCodeFor存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2024-21508）。MySQL2 是用于操作 MySQL 數(shù)據(jù)庫(kù)的高性能 Node.js 庫(kù)，可兼容 Node MySQLAPI、并提供預(yù)編譯語(yǔ)句、擴(kuò)展編碼等功能。由于readCodeFor函數(shù)中未正確驗(yàn)證supportBigNumbers和bigNumberStrings值,威脅者可通過構(gòu)造惡意對(duì)象并將其作為參數(shù)傳遞給 connection.query函數(shù)來執(zhí)行惡意JavaScript 代碼,從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

漏洞編號(hào)

CVE-2024-21508

漏洞危害

攻擊者可通過構(gòu)造惡意對(duì)象并將其作為參數(shù)傳遞給 connection.query函數(shù)來執(zhí)行惡意JavaScript 代碼,從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

漏洞等級(jí)

高危
受影響版本

mysql2(npm) < 3.9.4

修復(fù)方案

目前該漏洞已經(jīng)修復(fù),受影響用戶可更新到mysql2 3.9.4或更高版本。

下載鏈接：

https://github.com/sidorares/node-mysql2/releases

參考鏈接

https://github.com/sidorares/node-mysql2/pull/2572

關(guān)于liblzma/xz官方庫(kù)后門漏洞預(yù)警通告

發(fā)布日期：2024-4-1

[2024]007號(hào)

漏洞描述

2024年4月1日公司監(jiān)測(cè)到liblzma/xz官方庫(kù)存在后門漏洞。XZ-Utils是Linux、Unix等POSIX兼容系統(tǒng)中廣泛用于處理.xz文件的套件，包含liblzma、xz等組件，已集成在debian、ubuntu、centos等發(fā)行版?zhèn)}庫(kù)中。該漏洞是由于開發(fā)者向軟件中注入了惡意的后門程序，由于SSH底層依賴了liblzma，攻擊者可能利用這一漏洞在受影響的系統(tǒng)上繞過SSH的認(rèn)證獲得未授權(quán)訪問權(quán)限，執(zhí)行任意代碼。

漏洞編號(hào)

暫無編號(hào)

漏洞危害

攻擊者可能利用這一漏洞在受影響的系統(tǒng)上繞過SSH的認(rèn)證獲得未授權(quán)訪問權(quán)限，執(zhí)行任意代碼。

漏洞等級(jí)

高危
受影響版本

5.6.0<=XZ Utils<=5.6.1

修復(fù)方案

官方暫未發(fā)布針對(duì)此漏洞的修復(fù)版本官方暫未發(fā)布針對(duì)此漏洞的修復(fù)版本，建議安裝XZ-Utils 5.6.0、5.6.1 版本用戶卸載當(dāng)前版本或者將xz降級(jí)至 5.4.6 版本。

參考鏈接

https://loudongyun.360.net/leakDetail/EV0vNLbbkUg%3D

關(guān)于正方教學(xué)管理信息服務(wù)平臺(tái)ReportServer存在任意文件讀取漏洞預(yù)警通告

發(fā)布日期：2024-3-21

[2024]006號(hào)

漏洞描述

2024年3月21日公司監(jiān)測(cè)到正方教學(xué)管理信息服務(wù)平臺(tái)ReportServer存在任意文件讀取漏洞。正方教學(xué)管理信息服務(wù)平臺(tái)以培養(yǎng)、運(yùn)行、保障、監(jiān)控為主線，實(shí)現(xiàn)教務(wù)工作事務(wù)性管理和戰(zhàn)略性管理的相互疊加，滿足學(xué)校培養(yǎng)過程管理、教學(xué)質(zhì)量檢查、教學(xué)工作評(píng)價(jià)、教學(xué)業(yè)績(jī)?cè)u(píng)價(jià)、教學(xué)改革發(fā)展等戰(zhàn)略性需求。正方教學(xué)管理信息服務(wù)平臺(tái)ReportServer存在任意文件讀取漏洞，攻擊者可通過該漏洞獲取服務(wù)器上敏感文件內(nèi)容。

漏洞編號(hào)

暫無編號(hào)

漏洞危害

攻擊者可通過該漏洞獲取服務(wù)器上敏感文件內(nèi)容。

漏洞等級(jí)

高危
受影響版本

修復(fù)方案

1、請(qǐng)聯(lián)系廠商進(jìn)行修復(fù)或升級(jí)到安全版本。

2、如非必要，禁止公網(wǎng)訪問該系統(tǒng)。

3、設(shè)置白名單訪問。

參考鏈接

https://mp.weixin.qq.com/s/WjbLpv3GAlcErv6tmMEv2w

關(guān)于 Spring Web UriComponentsBuilder 存在URL解析不當(dāng)漏洞預(yù)警通告

發(fā)布日期：2024-3-18

[2024]005號(hào)

漏洞描述

2024年3月18日公司監(jiān)測(cè)到Spring Web UriComponentsBuilder URL解析不當(dāng)漏洞(CVE-2024-22259)。SpringFramework是一個(gè)開源的Java應(yīng)用程序框架,UriComponentsBuilder是SpringWeb中用于構(gòu)建和操作URI的工具類。由于 UriComponentsBuilder 處理URL時(shí)未正確過濾用戶信息中的方括號(hào)，導(dǎo)致攻擊者可構(gòu)造包含方括號(hào)的惡意 URL 繞過相關(guān)驗(yàn)證，導(dǎo)致開放重定向或SSRF漏洞。

漏洞編號(hào)

CVE-2024-22259

漏洞危害

攻擊者可構(gòu)造包含方括號(hào)的惡意 URL 繞過相關(guān)驗(yàn)證，導(dǎo)致開放重定向或SSRF漏洞。

漏洞等級(jí)

高危
受影響版本

org.springframework:spring-web[6.1.0, 6.1.5)

org.springframework:spring-web[6.0.0, 6.0.18)

org.springframework:spring-web(-∞, 5.3.33)

修復(fù)方案

目前官方已經(jīng)發(fā)布了解決此漏洞的相關(guān)補(bǔ)丁，建議受影響用戶升級(jí)至安全版本。

參考鏈接

https://mp.weixin.qq.com/s/4eIUO8HpJdcTJhriH8CMhQ

關(guān)于 Microsoft Outlook 遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警通告

發(fā)布日期：2024-2-23

[2024]004號(hào)

漏洞描述

2024年2月23日公司監(jiān)測(cè)到Microsoft Outlook 存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2024-21413）情報(bào)。Microsoft Office Outlook是微軟辦公軟件套裝的組件之一，它對(duì)Windows自帶的 Outlook express 的功能進(jìn)行了擴(kuò)充。Outlook 的功能很多，可以用它來收發(fā)電子郵件、管理聯(lián)系人信息、記日記、安排日程、分配任務(wù)。攻擊者可以在文檔擴(kuò)展名及其嵌入鏈接后插入感嘆號(hào)，就能繞過安全程序獲得文檔的高級(jí)權(quán)限，包括編輯潛在的惡意 “保護(hù)視圖” 文檔，從而造成潛在的信息泄漏和遠(yuǎn)程代碼執(zhí)行的風(fēng)險(xiǎn)。

漏洞編號(hào)

CVE-2024-21413

漏洞危害

攻擊者可以在文檔擴(kuò)展名及其嵌入鏈接后插入感嘆號(hào)，就能繞過安全程序獲得文檔的高級(jí)權(quán)限，包括編輯潛在的惡意 “保護(hù)視圖” 文檔，從而造成潛在的信息泄漏和遠(yuǎn)程代碼執(zhí)行的風(fēng)險(xiǎn)。

漏洞等級(jí)

高危
受影響版本

Microsoft Microsoft 365Apps for Enterprise for 64-bit Systems

Microsoft Microsoft 365Apps for Enterprise for 32-bit Systems

Microsoft Microsoft Office LTSC 2021 for 64-bit editions

Microsoft Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Microsoft Outlook 2016 (64-bit edition)

Microsoft Microsoft Outlook 2016 (32-bit edition)

Microsoft Microsoft Office 2019 for 64-bit editions

Microsoft Microsoft Office 2019 for 32-bit editions

修復(fù)方案

https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2024-21413

參考鏈接

https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2024-21413