网络安全漏洞通告(2021.10.20-2021.10.26)
目录
一、Oracle WebLogic多个高危漏洞... 1
二、Oracle MySQL JDBC XXE漏洞... 2
三、GNU Mailman处理逻辑错误漏洞... 3
四、上海纽盾科技股份有限公司Reporter系统命令执行漏洞... 4
五、Oracle MySQL Server输入验证错误漏洞... 5
六、GitLab 远程命令执行漏洞... 5
七、Adobe Digital Editions OS命令注入漏洞... 6
漏洞详细信息如下:
一、Oracle WebLogic多个高危漏洞
| 发布时间 |
2021-10-20 |
风险等级 |
高危 |
| 漏洞编号 |
CVE-2021-35617 CVE-2021-35620 CVE-2021-35552 |
漏洞来源 |
Oracle 官方 |
| 漏洞信息 |
|||
| 1、 漏洞概述 Weblogic是美国Oracle公司出品的一个应用服务器(application server),确切的说是一个基于Java EE架构的中间件,是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 CVE-2021-35617(Oracle WebLogic Server远程代码执行漏洞) 该漏洞可以让攻击者可以在未授权的情况下通过IIOP协议对存在漏洞的Oracle WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管Oracle WebLogic Server。 CVE-2021-35620(Oracle WebLogic Server拒绝服务漏洞) 该漏洞允许未经身份验证的攻击者通过 T3 协议访问来破坏Oracle WebLogic Server。成功利用此漏洞将会导致Oracle WebLogic Server 服务挂起或重复崩溃(DOS)。 CVE-2021-35552(Oracle WebLogic Server诊断组件不正确的输入验证漏洞) 该漏洞由于 Oracle WebLogic Server 中诊断组件不正确的输入验证。远程未经身份验证的攻击者可以利用此漏洞来操纵数据。 2、 影响范围 CVE-2021-35617 影响范围: 12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0
CVE-2021-35620 影响范围: 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0
CVE-2021-35552 影响范围: 12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 |
|||
| 处置建议 |
https://www.oracle.com/security-alerts/cpuoct2021.html |
||
| 参考链接 |
|
||
二、Oracle MySQL JDBC XXE漏洞
| 发布时间 |
2021-10-21 |
风险等级 |
高危 |
| 漏洞编号 |
CVE-2021-2471 |
漏洞来源 |
阿里云安全团队 |
| 漏洞信息 |
|||
| 1、 漏洞概述 MySQL 是最流行的关系型数据库管理系统,在 WEB 应用方面 MySQL 是最好的 RDBMS(Relational Database Management System:关系数据库管理系统)应用软件之一。 该漏洞是由于MySQL JDBC 8.0.27版本之前,存在getSource()方法未对传入的XML数据做校验,导致攻击者可以在XML数据中引入外部实体,造成XXE攻击。 2、 影响范围 受影响版本:MySQL JDBC < 8.0.27版本 |
|||
| 处置建议 |
https://www.oracle.com/security-alerts/cpuoct2021.html |
||
| 参考链接 |
|
||
三、GNU Mailman处理逻辑错误漏洞
| 发布时间 |
2021-10-22 |
风险等级 |
高危 |
| 漏洞编号 |
CVE-2021-42097 |
漏洞来源 |
Ubuntu 官网 |
| 漏洞信息 |
|||
| 1、 漏洞概述 GNU Mailman是GNU计划的一套免费的用于管理电子邮件讨论和电子邮件列表的软件。该软件可与Web项目集成,使用户方便管理邮件订阅帐号,并提供内置归档、自动转发处理、内容过滤和反垃圾过滤器等功能。 该漏洞源于 GNU Mailman 可能允许远程提权。 csrf_token 值并不特定于单个用户帐户。 攻击者可以在非特权用户帐户的上下文中获取一个值,然后在针对管理员的 CSRF 攻击中使用该值(例如,用于帐户接管)。 2、 影响范围 受影响版本:GNU Mailman<2.1.35 |
|||
| 处置建议 |
https://bugs.launchpad.net/mailman/+bug/1947640 |
||
| 参考链接 |
|
||
四、上海纽盾科技股份有限公司Reporter系统命令执行漏洞
| 发布时间 |
2021-10-22 |
风险等级 |
高危 |
| 漏洞编号 |
CNVD-2021-68711 |
漏洞来源 |
CNVD |
| 漏洞信息 |
|||
| 1、 漏洞概述 上海纽盾科技股份有限公司是一家以“网络安全”为主轴,以“让网络更安全”为使命,为客户提供网络安全整体解决方案的专业安全公司。 上海纽盾科技股份有限公司Reporter系统存在命令执行漏洞,攻击者可利用该漏洞执行任意系统命令,获取服务器权限。 2、 影响范围 受影响版本:上海纽盾科技股份有限公司 Reporter系统 |
|||
| 处置建议 |
http://121.201.33.146/NACII-URL-LIB.bin |
||
| 参考链接 |
|
||
五、Oracle MySQL Server输入验证错误漏洞
| 发布时间 |
2021-10-25 |
风险等级 |
高危 |
| 漏洞编号 |
CVE-2021-35610 |
漏洞来源 |
深信服、Ubuntu、CNVD |
| 漏洞信息 |
|||
| 1、 漏洞概述 Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。 该漏洞的存在是由于在MySQL服务器的Server: Optimizer组件中的输入验证不正确。远程攻击者可以利用此漏洞破坏或删除数据。 2、 影响范围 受影响版本:MySQL Server<=8.0.26 |
|||
| 处置建议 |
https://www.oracle.com/security-alerts/cpuoct2021.html |
||
| 参考链接 |
|
||
六、GitLab 远程命令执行漏洞
| 发布时间 |
2021-10-25 |
风险等级 |
高危 |
| 漏洞编号 |
CVE-2021-22205 |
漏洞来源 |
国家漏洞数据库 |
| 漏洞信息 |
|||
| 3、 漏洞概述 GitLab 是一个利用 Ruby on Rails 开发的开源应用程序,实现一个自托管的 Git 项目仓库,可通过 Web 界面进行访问公开的或者私人项目。 该漏洞是由于 GitLab 没有正确的处理传入的图像文件,导致攻击者可利用该漏洞构造恶意数据执行远程命令,最终造成服务器敏感性信息泄露。 4、 影响范围 受影响版本: GitLab(CE/EE) 11.9 - 13.8.8 GitLab(CE/EE) 13.9 - 13.9.6 GitLab(CE/EE) 13.10 - 13.10.3 |
|||
| 处置建议 |
https://packages.gitlab.com/gitlab/ |
||
| 参考链接 |
|
||
七、Adobe Digital Editions OS命令注入漏洞
| 发布时间 |
2021-10-25 |
风险等级 |
高危 |
| 漏洞编号 |
CNVD-2021-79749 CVE-2021-39826 |
漏洞来源 |
CNVD |
| 漏洞信息 |
|||
| 1、 漏洞概述 Adobe Digital Editions软件提供一种引人入胜的方式帮助您查看和管理eBooks和其它数字出版物。 Adobe Digital Editions 4.5.11.187646及更早版本存在OS命令注入漏洞。攻击者可利用该漏洞执行任意代码。 2、 影响范围 受影响版本:Adobe Adobe Digital Editions <=4.5.11.187646 |
|||
| 处置建议 |
https://helpx.adobe.com/security/products/Digital-Editions/apsb21-80.html |
||
| 参考链接 |
|
||