關于XStream拒絕服務漏洞的預警通報

發(fā)布日期：2024-11-12

[2024]021號

漏洞描述

2024年11月12日監(jiān)測發(fā)現(xiàn)XStream存在拒絕服務漏洞(CVE-2024-47072)，該漏洞是由于當XStream 配置為使用 BinaryStreamDriver時，反序列化某些特定輸入時處理不當，導致攻擊者可以通過構造特定的二進制數(shù)據(jù)流作為輸入，從而在反序列化時進入無限遞歸，觸發(fā)棧溢出，使得應用程序崩潰并導致服務中斷，造成拒絕服務。

XStream 是一個用于在 Java 對象和 XML 之間相互轉(zhuǎn)換的工具，它能夠?qū)?Java 對象序列化為 XML 或 JSON 格式，也可以將 XML 或 JSON 格式的數(shù)據(jù)反序列化為 Java 對象，從而簡化了數(shù)據(jù)的存儲、傳輸和恢復。BinaryStreamDriver是XStream提供的一個驅(qū)動，它使用了一種優(yōu)化的二進制格式來進行序列化與反序列化操作。

漏洞編號

CVE-2024-47072

漏洞危害

允許遠程攻擊者利用這一漏洞，僅通過操縱已處理的輸入流來終止應用程序，并顯示堆棧溢出錯誤，從而導致拒絕服務。

漏洞等級

高危
受影響版本

XStream < 1.4.21

修復方案

目前該漏洞已經(jīng)修復，受影響用戶可升級到以下版本：

XStream >= 1.4.21

https://x-stream.github.io/download.html

參考鏈接

https://x-stream.github.io/CVE-2024-47072.html

關于Apache ZooKeeper身份驗證繞過漏洞的預警通報

發(fā)布日期：2024-11-12

[2024]020號

漏洞描述

2024年11月12日監(jiān)測發(fā)現(xiàn)Apache ZooKeeper存在身份驗證繞過漏洞(CVE-2024-51504)，該漏洞是由于ZooKeeper Admin Server中使用的IPAuthenticationProvider配置不當，導致使用了可被輕易偽造的HTTP請求頭（如X-Forwarded-For）來檢測客戶端IP地址，攻擊者可通過偽造請求頭中的IP地址來繞過身份驗證，進而實現(xiàn)未授權訪問管理服務器功能并任意執(zhí)行管理服務器命令（例如快照和恢復），從而可能導致信息泄露或服務可用性問題。

Apache ZooKeeper是一個分布式協(xié)調(diào)服務，主要用于管理大型分布式系統(tǒng)中的數(shù)據(jù)和狀態(tài)，它提供了高效的分布式鎖、配置管理、命名服務和集群管理功能，通過簡單的接口支持分布式應用實現(xiàn)一致性和協(xié)調(diào)。ZooKeeper通常用于保障分布式應用的高可用性和數(shù)據(jù)一致性，適用于如Hadoop、Kafka、HBase等系統(tǒng)，幫助協(xié)調(diào)各個節(jié)點的狀態(tài)和操作，避免沖突和數(shù)據(jù)不一致問題。

漏洞編號

CVE-2024-51504

漏洞危害

攻擊者利用這一漏洞可以通過偽造 X-Forwarded-For 頭中的 IP 地址來繞過身份驗證，通過 Admin Server 的校驗，從而獲得使用特權命令。

漏洞等級

高危
受影響版本

3.9.0 <= Apache ZooKeeper < 3.9.3

修復方案

將組件 org.apache.zookeeper:zookeeper 升級至 3.9.3 及以上版本。

將組件 zookeeper 升級至 3.9.3 及以上版本。

https://zookeeper.apache.org/releases.html

參考鏈接

https://nvd.nist.gov/vuln/detail/CVE-2024-51504

https://seclists.org/oss-sec/2024/q4/60

關于Zabbix-監(jiān)控系統(tǒng)組件存在SQL注入漏洞的預警通報

發(fā)布日期：2024-7-8

漏洞描述

2024年7月8日監(jiān)測發(fā)現(xiàn)Zabbix-監(jiān)控系統(tǒng)組件存在SQL注入漏洞（CVE-2024-22120），該漏洞是由于clientip字段未經(jīng)清理，可能導致SQL時間盲注攻擊，經(jīng)過身份驗證的威脅者可利用該漏洞從數(shù)據(jù)庫中獲取敏感信息，并可能導致將權限提升為管理員或?qū)е逻h程代碼執(zhí)行。

Zabbix是一個基于WEB界面的提供分布式系統(tǒng)監(jiān)視以及網(wǎng)絡監(jiān)視功能的企業(yè)級的開源解決方案。

漏洞編號

CVE-2024-22120

漏洞危害

攻擊者可能利用這一漏洞從數(shù)據(jù)庫中獲取敏感信息，并可能導致將權限提升為管理員或?qū)е逻h程代碼執(zhí)行。

漏洞等級

高危
受影響版本

6.0.0≤Zabbixserver≤6.0.27

6.4.0≤Zabbixserver≤6.4.12

7.0.0alpha1≤Zabbixserver≤7.0.0beta1

修復方案

官方已發(fā)布了漏洞修復方案，建議受影響用戶升級至安全版本。

https://www.zabbix.com/download
參考鏈接

https://support.zabbix.com/browse/ZBX-24505

禪道項目管理系統(tǒng)身份認證繞過

漏洞預警通報

發(fā)布日期：2024-6-7

[2024]008號

漏洞描述

2024年6月5日公司監(jiān)測到禪道項目管理系統(tǒng)身份認證繞過漏洞。禪道是第一款國產(chǎn)的開源項目管理軟件，它的核心管理思想基于敏捷方法 scrum，內(nèi)置了產(chǎn)品管理和項目管理，同時又根據(jù)國內(nèi)研發(fā)現(xiàn)狀補充了測試管理、計劃管理、發(fā)布管理、文檔管理、事務管理等功能，在一個軟件中就可以將軟件研發(fā)中的需求、任務、bug、用例、計劃、發(fā)布等要素有序地跟蹤管理起來，完整地覆蓋了項目管理的核心流程。禪道項目管理系統(tǒng)存在身份認證繞過漏洞，遠程攻擊者利用該漏洞可以繞過身份認證，調(diào)用任意API接口并修改管理員用戶的密碼，并以管理員用戶登錄該系統(tǒng)，配合其他漏洞進一步利用后，可以實現(xiàn)完全接管服務器。

漏洞編號

DVB-2024-6957

漏洞危害

該漏洞允許未授權用戶繞過正常認證流程，創(chuàng)建管理員賬戶并接管后臺，進而可能利用其他后臺漏洞實現(xiàn)遠程代碼執(zhí)行，嚴重威脅系統(tǒng)安全，可能導致數(shù)據(jù)泄露、勒索或更廣泛的網(wǎng)絡攻擊。

漏洞等級

嚴重

影響范圍：

v16.x <= 禪道 < v18.12 （開源版）

v6.x <= 禪道 < v8.12 （企業(yè)版）

v3.x <= 禪道 < v4.12 （旗艦版）

修復方案

目前該漏洞已在官方最新版本中進行了更新修復，請相關用戶盡快升級到最新版本。

鏈接如下：

https://www.zentao.net/

由市教委指導，北京聯(lián)合大學牽頭，依托在京網(wǎng)絡安全方面有特長的高校成立“北京教育行業(yè)SRC平臺”。旨在完善全市教育系統(tǒng)網(wǎng)絡安全技術防護機制，形成統(tǒng)一網(wǎng)絡安全漏洞通報、統(tǒng)一網(wǎng)絡安全事件協(xié)調(diào)處置、統(tǒng)一網(wǎng)絡安全工作聯(lián)絡的“三統(tǒng)一”協(xié)調(diào)機制，構建網(wǎng)絡安全治理新機制、新模式。

北京禹宏信安科技有限公司自成立以來，深耕教育行業(yè)。致力于為客戶提供最前沿、最全面的網(wǎng)絡安全、數(shù)據(jù)安全服務與解決方案。在“北京教育行業(yè)SRC平臺”建設與籌備中，根據(jù)平臺需求和特點，協(xié)助開發(fā)和建設，并持續(xù)為平臺運維提供技術支撐，共同探索和構建北京市教育系統(tǒng)網(wǎng)絡安全漏洞管理新機制、新模式，在提高網(wǎng)絡安全人才素質(zhì)和教育行業(yè)網(wǎng)絡安全防御水平方面發(fā)揮積極作用。

（信息來源：北京聯(lián)合大學）

關于MySQL2 readCodeFor存在遠程代碼執(zhí)行漏洞預警通告

發(fā)布日期：2024-4-24

[2024]008號

漏洞描述

2024年4月24日公司監(jiān)測到關于MySQL2 readCodeFor存在遠程代碼執(zhí)行漏洞（CVE-2024-21508）。MySQL2 是用于操作 MySQL 數(shù)據(jù)庫的高性能 Node.js 庫，可兼容 Node MySQLAPI、并提供預編譯語句、擴展編碼等功能。由于readCodeFor函數(shù)中未正確驗證supportBigNumbers和bigNumberStrings值,威脅者可通過構造惡意對象并將其作為參數(shù)傳遞給 connection.query函數(shù)來執(zhí)行惡意JavaScript 代碼,從而導致遠程代碼執(zhí)行。

漏洞編號

CVE-2024-21508

漏洞危害

攻擊者可通過構造惡意對象并將其作為參數(shù)傳遞給 connection.query函數(shù)來執(zhí)行惡意JavaScript 代碼,從而導致遠程代碼執(zhí)行。

漏洞等級

高危
受影響版本

mysql2(npm) < 3.9.4

修復方案

目前該漏洞已經(jīng)修復,受影響用戶可更新到mysql2 3.9.4或更高版本。

下載鏈接：

https://github.com/sidorares/node-mysql2/releases

參考鏈接

https://github.com/sidorares/node-mysql2/pull/2572

關于liblzma/xz官方庫后門漏洞預警通告

發(fā)布日期：2024-4-1

[2024]007號

漏洞描述

2024年4月1日公司監(jiān)測到liblzma/xz官方庫存在后門漏洞。XZ-Utils是Linux、Unix等POSIX兼容系統(tǒng)中廣泛用于處理.xz文件的套件，包含liblzma、xz等組件，已集成在debian、ubuntu、centos等發(fā)行版?zhèn)}庫中。該漏洞是由于開發(fā)者向軟件中注入了惡意的后門程序，由于SSH底層依賴了liblzma，攻擊者可能利用這一漏洞在受影響的系統(tǒng)上繞過SSH的認證獲得未授權訪問權限，執(zhí)行任意代碼。

漏洞編號

暫無編號

漏洞危害

攻擊者可能利用這一漏洞在受影響的系統(tǒng)上繞過SSH的認證獲得未授權訪問權限，執(zhí)行任意代碼。

漏洞等級

高危
受影響版本

5.6.0<=XZ Utils<=5.6.1

修復方案

官方暫未發(fā)布針對此漏洞的修復版本官方暫未發(fā)布針對此漏洞的修復版本，建議安裝XZ-Utils 5.6.0、5.6.1 版本用戶卸載當前版本或者將xz降級至 5.4.6 版本。

參考鏈接

https://loudongyun.360.net/leakDetail/EV0vNLbbkUg%3D

關于正方教學管理信息服務平臺ReportServer存在任意文件讀取漏洞預警通告

發(fā)布日期：2024-3-21

[2024]006號

漏洞描述

2024年3月21日公司監(jiān)測到正方教學管理信息服務平臺ReportServer存在任意文件讀取漏洞。正方教學管理信息服務平臺以培養(yǎng)、運行、保障、監(jiān)控為主線，實現(xiàn)教務工作事務性管理和戰(zhàn)略性管理的相互疊加，滿足學校培養(yǎng)過程管理、教學質(zhì)量檢查、教學工作評價、教學業(yè)績評價、教學改革發(fā)展等戰(zhàn)略性需求。正方教學管理信息服務平臺ReportServer存在任意文件讀取漏洞，攻擊者可通過該漏洞獲取服務器上敏感文件內(nèi)容。

漏洞編號

暫無編號

漏洞危害

攻擊者可通過該漏洞獲取服務器上敏感文件內(nèi)容。

漏洞等級

高危
受影響版本

修復方案

1、請聯(lián)系廠商進行修復或升級到安全版本。

2、如非必要，禁止公網(wǎng)訪問該系統(tǒng)。

3、設置白名單訪問。

參考鏈接

https://mp.weixin.qq.com/s/WjbLpv3GAlcErv6tmMEv2w

關于 Spring Web UriComponentsBuilder 存在URL解析不當漏洞預警通告

發(fā)布日期：2024-3-18

[2024]005號

漏洞描述

2024年3月18日公司監(jiān)測到Spring Web UriComponentsBuilder URL解析不當漏洞(CVE-2024-22259)。SpringFramework是一個開源的Java應用程序框架,UriComponentsBuilder是SpringWeb中用于構建和操作URI的工具類。由于 UriComponentsBuilder 處理URL時未正確過濾用戶信息中的方括號，導致攻擊者可構造包含方括號的惡意 URL 繞過相關驗證，導致開放重定向或SSRF漏洞。

漏洞編號

CVE-2024-22259

漏洞危害

攻擊者可構造包含方括號的惡意 URL 繞過相關驗證，導致開放重定向或SSRF漏洞。

漏洞等級

高危
受影響版本

org.springframework:spring-web[6.1.0, 6.1.5)

org.springframework:spring-web[6.0.0, 6.0.18)

org.springframework:spring-web(-∞, 5.3.33)

修復方案

目前官方已經(jīng)發(fā)布了解決此漏洞的相關補丁，建議受影響用戶升級至安全版本。

參考鏈接

https://mp.weixin.qq.com/s/4eIUO8HpJdcTJhriH8CMhQ

關于 Microsoft Outlook 遠程代碼執(zhí)行漏洞預警通告

發(fā)布日期：2024-2-23

[2024]004號

漏洞描述

2024年2月23日公司監(jiān)測到Microsoft Outlook 存在遠程代碼執(zhí)行漏洞（CVE-2024-21413）情報。Microsoft Office Outlook是微軟辦公軟件套裝的組件之一，它對Windows自帶的 Outlook express 的功能進行了擴充。Outlook 的功能很多，可以用它來收發(fā)電子郵件、管理聯(lián)系人信息、記日記、安排日程、分配任務。攻擊者可以在文檔擴展名及其嵌入鏈接后插入感嘆號，就能繞過安全程序獲得文檔的高級權限，包括編輯潛在的惡意 “保護視圖” 文檔，從而造成潛在的信息泄漏和遠程代碼執(zhí)行的風險。

漏洞編號

CVE-2024-21413

漏洞危害

攻擊者可以在文檔擴展名及其嵌入鏈接后插入感嘆號，就能繞過安全程序獲得文檔的高級權限，包括編輯潛在的惡意 “保護視圖” 文檔，從而造成潛在的信息泄漏和遠程代碼執(zhí)行的風險。

漏洞等級

高危
受影響版本

Microsoft Microsoft 365Apps for Enterprise for 64-bit Systems

Microsoft Microsoft 365Apps for Enterprise for 32-bit Systems

Microsoft Microsoft Office LTSC 2021 for 64-bit editions

Microsoft Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Microsoft Outlook 2016 (64-bit edition)

Microsoft Microsoft Outlook 2016 (32-bit edition)

Microsoft Microsoft Office 2019 for 64-bit editions

Microsoft Microsoft Office 2019 for 32-bit editions

修復方案

https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2024-21413

參考鏈接

https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2024-21413