網絡安全漏洞通告(2021.10.20-2021.10.26)
目錄
一、Oracle WebLogic多個高危漏洞... 1
二、Oracle MySQL JDBC XXE漏洞... 2
三、GNU Mailman處理邏輯錯誤漏洞... 3
四、上海紐盾科技股份有限公司Reporter系統命令執行漏洞... 4
五、Oracle MySQL Server輸入驗證錯誤漏洞... 5
六、GitLab 遠程命令執行漏洞... 5
七、Adobe Digital Editions OS命令注入漏洞... 6
漏洞詳細信息如下:
一、Oracle WebLogic多個高危漏洞
| 發布時間 |
2021-10-20 |
風險等級 |
高危 |
| 漏洞編號 |
CVE-2021-35617 CVE-2021-35620 CVE-2021-35552 |
漏洞來源 |
Oracle 官方 |
| 漏洞信息 |
|||
| 1、 漏洞概述 Weblogic是美國Oracle公司出品的一個應用服務器(application server),確切的說是一個基於Java EE架構的中間件,是用於開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器。 CVE-2021-35617(Oracle WebLogic Server遠程代碼執行漏洞) 該漏洞可以讓攻擊者可以在未授權的情況下通過IIOP協議對存在漏洞的Oracle WebLogic Server組件進行攻擊。成功利用該漏洞的攻擊者可以接管Oracle WebLogic Server。 CVE-2021-35620(Oracle WebLogic Server拒絕服務漏洞) 該漏洞允許未經身份驗證的攻擊者通過 T3 協議訪問來破壞Oracle WebLogic Server。成功利用此漏洞將會導致Oracle WebLogic Server 服務掛起或重復崩潰(DOS)。 CVE-2021-35552(Oracle WebLogic Server診斷組件不正確的輸入驗證漏洞) 該漏洞由於 Oracle WebLogic Server 中診斷組件不正確的輸入驗證。遠程未經身份驗證的攻擊者可以利用此漏洞來操縱數據。 2、 影響范圍 CVE-2021-35617 影響范圍: 12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0
CVE-2021-35620 影響范圍: 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0
CVE-2021-35552 影響范圍: 12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 |
|||
| 處置建議 |
https://www.oracle.com/security-alerts/cpuoct2021.html |
||
| 參考鏈接 |
|
||
二、Oracle MySQL JDBC XXE漏洞
| 發布時間 |
2021-10-21 |
風險等級 |
高危 |
| 漏洞編號 |
CVE-2021-2471 |
漏洞來源 |
阿里雲安全團隊 |
| 漏洞信息 |
|||
| 1、 漏洞概述 MySQL 是最流行的關系型數據庫管理系統,在 WEB 應用方面 MySQL 是最好的 RDBMS(Relational Database Management System:關系數據庫管理系統)應用軟件之一。 該漏洞是由於MySQL JDBC 8.0.27版本之前,存在getSource()方法未對傳入的XML數據做校驗,導致攻擊者可以在XML數據中引入外部實體,造成XXE攻擊。 2、 影響范圍 受影響版本:MySQL JDBC < 8.0.27版本 |
|||
| 處置建議 |
https://www.oracle.com/security-alerts/cpuoct2021.html |
||
| 參考鏈接 |
|
||
三、GNU Mailman處理邏輯錯誤漏洞
| 發布時間 |
2021-10-22 |
風險等級 |
高危 |
| 漏洞編號 |
CVE-2021-42097 |
漏洞來源 |
Ubuntu 官網 |
| 漏洞信息 |
|||
| 1、 漏洞概述 GNU Mailman是GNU計划的一套免費的用於管理電子郵件討論和電子郵件列表的軟件。該軟件可與Web項目集成,使用戶方便管理郵件訂閱帳號,並提供內置歸檔、自動轉發處理、內容過濾和反垃圾過濾器等功能。 該漏洞源於 GNU Mailman 可能允許遠程提權。 csrf_token 值並不特定於單個用戶帳戶。 攻擊者可以在非特權用戶帳戶的上下文中獲取一個值,然后在針對管理員的 CSRF 攻擊中使用該值(例如,用於帳戶接管)。 2、 影響范圍 受影響版本:GNU Mailman<2.1.35 |
|||
| 處置建議 |
https://bugs.launchpad.net/mailman/+bug/1947640 |
||
| 參考鏈接 |
|
||
四、上海紐盾科技股份有限公司Reporter系統命令執行漏洞
| 發布時間 |
2021-10-22 |
風險等級 |
高危 |
| 漏洞編號 |
CNVD-2021-68711 |
漏洞來源 |
CNVD |
| 漏洞信息 |
|||
| 1、 漏洞概述 上海紐盾科技股份有限公司是一家以“網絡安全”為主軸,以“讓網絡更安全”為使命,為客戶提供網絡安全整體解決方案的專業安全公司。 上海紐盾科技股份有限公司Reporter系統存在命令執行漏洞,攻擊者可利用該漏洞執行任意系統命令,獲取服務器權限。 2、 影響范圍 受影響版本:上海紐盾科技股份有限公司 Reporter系統 |
|||
| 處置建議 |
http://121.201.33.146/NACII-URL-LIB.bin |
||
| 參考鏈接 |
|
||
五、Oracle MySQL Server輸入驗證錯誤漏洞
| 發布時間 |
2021-10-25 |
風險等級 |
高危 |
| 漏洞編號 |
CVE-2021-35610 |
漏洞來源 |
深信服、Ubuntu、CNVD |
| 漏洞信息 |
|||
| 1、 漏洞概述 Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。 該漏洞的存在是由於在MySQL服務器的Server: Optimizer組件中的輸入驗證不正確。遠程攻擊者可以利用此漏洞破壞或刪除數據。 2、 影響范圍 受影響版本:MySQL Server<=8.0.26 |
|||
| 處置建議 |
https://www.oracle.com/security-alerts/cpuoct2021.html |
||
| 參考鏈接 |
|
||
六、GitLab 遠程命令執行漏洞
| 發布時間 |
2021-10-25 |
風險等級 |
高危 |
| 漏洞編號 |
CVE-2021-22205 |
漏洞來源 |
國家漏洞數據庫 |
| 漏洞信息 |
|||
| 3、 漏洞概述 GitLab 是一個利用 Ruby on Rails 開發的開源應用程序,實現一個自托管的 Git 項目倉庫,可通過 Web 界面進行訪問公開的或者私人項目。 該漏洞是由於 GitLab 沒有正確的處理傳入的圖像文件,導致攻擊者可利用該漏洞構造惡意數據執行遠程命令,最終造成服務器敏感性信息泄露。 4、 影響范圍 受影響版本: GitLab(CE/EE) 11.9 - 13.8.8 GitLab(CE/EE) 13.9 - 13.9.6 GitLab(CE/EE) 13.10 - 13.10.3 |
|||
| 處置建議 |
https://packages.gitlab.com/gitlab/ |
||
| 參考鏈接 |
|
||
七、Adobe Digital Editions OS命令注入漏洞
| 發布時間 |
2021-10-25 |
風險等級 |
高危 |
| 漏洞編號 |
CNVD-2021-79749 CVE-2021-39826 |
漏洞來源 |
CNVD |
| 漏洞信息 |
|||
| 1、 漏洞概述 Adobe Digital Editions軟件提供一種引人入勝的方式幫助您查看和管理eBooks和其它數字出版物。 Adobe Digital Editions 4.5.11.187646及更早版本存在OS命令注入漏洞。攻擊者可利用該漏洞執行任意代碼。 2、 影響范圍 受影響版本:Adobe Adobe Digital Editions <=4.5.11.187646 |
|||
| 處置建議 |
https://helpx.adobe.com/security/products/Digital-Editions/apsb21-80.html |
||
| 參考鏈接 |
|
||