[AB] 安全通告 | 安全漏洞周报(12.26 - 12.30)

[复制链接]
查看86066 | 回复0 | 5 天前 | 显示全部楼层 |阅读模式


近日,梆梆安全专家整理发布12月26日--12月30日安全漏洞报告,主要涉及以下产品/组件:Apache ShardingSphere、Linux Kernel KSMBD、Rockwell Automation、Rockwell Automation,建议相关用户及时采取措施做好资产自查与预防工作。

Apache ShardingSphere 身份认证绕过漏洞

CVE-2022-45347

组件介绍

Apache ShardingSphere 是一款分布式的数据库生态系统,可以将任意数据库转换为分布式数据库,并通过数据分片、弹性伸缩、加密等能力对原有数据库进行增强。



漏洞描述

2022年12月22日,Apache官方发布安全公告,称修复了存在于Apache ShardingSphere-Proxy中的身份认证绕过漏洞,漏洞编号:CVE-2022-45347,cvss评分:9.8,漏洞危害等级:严重。

Apache ShardingSphere-Proxy在使用MySQL作为后端数据库时,在客户端认证失败后并没有完全清理数据库会话,攻击者可以通过构造一个特殊的MySQL客户端来绕过身份认证并执行命令。

影响范围

目前受影响的 Apache ShardingSphere 版本:

Apache ShardingSphere < 5.3.0

官方修复建议

目前 Apache ShardingSphere 官方已发布安全版本,在 5.3.0 版本中该漏洞已修复,建议受影响用户尽快更新至对应的安全版本。下载链接如下:

https://github.com/apache/shardingsphere/releases

Linux Kernel KSMBD

多个安全漏洞

组件介绍

Linux Kernel 是开源操作系统 Linux 所使用的内核。KSMBD 是一个 linux Kernel 服务器,它在内核空间中实现 SMB3 协议,用于通过网络共享文件。



漏洞描述

近日,Linux Kernel KSMBD 被披露存在多个安全漏洞,成功利用这些漏洞可能导致信息泄露、拒绝服务或远程代码执行等。


CVE

编号

漏洞名称

漏洞描述

影响范围

CVE-2022-47939

Linux Kernel KSMBD UAF远程代码执行漏洞(严重)

该漏洞存在于SMB2_TREE_DISCONNECT   命令的处理过程中,由于在对对象执行操作之前没有验证对象是否存在,攻击者可在未经身份验证的情况下利用该漏洞在内核上下文中执行代码。

5.15   ≤   Linux  Kernel < 5.19.2

CVE-2022-47940

Linux Kernel KSMBD越界读取信息泄露漏洞(严重)

Linux Kernel 版本5.15到5.18.18之前,由于smb2_write() 无法验证用户提供的数据,可能导致越界读取,经过验证的恶意用户可利用该漏洞泄露Linux 内核安装的敏感信息。注:该漏洞可结合其它漏洞实现在内核上下文中执行任意代码。

5.15   ≤   Linux  Kernel < 5.18.18

CVE-2022-47943

Linux Kernel KSMBD越界读取漏洞(严重)

Linux Kernel 版本5.15到5.19.2之前在smb2_write()处理中存在漏洞,当DataOffset为0且Length太大时可能导致越界读取。

5.15   ≤   Linux  Kernel < 5.19.2

CVE-2022-47942

Linux Kernel KSMBD 基于堆的缓冲区溢出远程代码执行漏洞(高危)

Linux Kernel 版本5.15到5.19.2之前,由于在将用户提供的数据复制到基于堆的缓冲区之前没有对用户提供的数据的长度进行适当验证,导致堆缓冲区溢出,经过验证的恶意用户可利用该漏洞在受影响的 Linux 内核安装上执行任意代码。

5.15   ≤   Linux  Kernel < 5.19.2

CVE-2022-47941

Linux Kernel KSMBD内存耗尽拒绝服务漏洞(中危)

该漏洞存在于   SMB2_NEGOTIATE 命令的处理中,由于有效生命周期后内存释放不足,攻击者可以利用该漏洞导致拒绝服务。

5.15   ≤   Linux  Kernel < 5.19.2

CVE-2022-47938

Linux Kernel KSMBD越界读取拒绝服务漏洞(中危)

在 CIFS 文件系统中处理 SMB2_TREE_CONNECT 命令时,由于缺乏对用户提供的数据的正确验证,可能导致读取超出已分配缓冲区的末尾,攻击者可以利用该漏洞在系统上导致拒绝服务。

5.15   ≤   Linux  Kernel < 5.19.2


官方修复建议

目前这些漏洞已经修复,受影响用户可升级到5.15.61、5.19.2或更高版本。下载链接:https://kernel.org/

缓解措施:如果存在且启用了KSMBD 模块,可禁用 KSMBD 模块。

注:Linux系统用户可以通过查看系统版本来判断当前系统是否在受影响范围内,若系统版本在受影响范围内,且系统启用了KSMBD时,则易受上述漏洞影响。

Rockwell Automation

多个安全漏洞

组件介绍

罗克韦尔自动化有限公司是全球最大的致力于工业自动化与信息的公司,致力于帮助客户提高生产力,以及世界可持续发展。



漏洞描述

2022年12月20日,罗克韦尔自动化多个控制器被披露存在多个安全漏洞,这些漏洞可能导致拒绝服务或远程代码执行。


CVE 编号

攻击类型

漏洞描述

影响范围

CVE-2022-3156

访问控制不当

由于错误配置,导致用户在某些产品服务上被授予较高的权限,恶意用户可以利用该漏洞远程执行代码。

Studio   5000 Logix  Emulate 版本v.20-33

CVE-2022-3157

输入验证不当

某些罗克韦尔自动化控制器中存在不正确的输入验证漏洞,攻击者可以通过发送格式错误的 CIP 请求导致拒绝服务。

CompactLogix 5370 版本20–33、

Compact GuardLogix 5370 版本28–33、

ControlLogix 5570 版本20–33、

ControlLogix 5570 redundancy 版本 20–33、

GuardLogix 5570 版本20–33

CVE-2022-46670

跨站脚本(XSS)

罗克韦尔某些PLC产品在嵌入式网络服务器中存在存储型跨站脚本漏洞,攻击者可利用该漏洞在无需身份验证的情况下远程执行代码。

MicroLogix 1100:所有版本、

MicroLogix 1400 A: 7.000 及之前版本、

MicroLogix 1400 B/C: 21.007 及之前版本

CVE-2022-3166

点击劫持

罗克韦尔某些PLC产品存在点击劫持漏洞,远程恶意主机可以向网络服务器发送TCP数据包,导致 Web 服务器应用程序拒绝服务。


官方修复建议

目前部分漏洞已经修复,受影响用户可及时升级到修复版本。对于CVE-2022-46670和CVE-2022-3166,目前暂无可用的修复程序,但罗克韦尔自动化已经提供了缓解措施,受影响用户可及时应用临时缓解措施以防止攻击。下载链接如下:

https://compatibility.rockwellautomation.com/Pages/MultiProductSelector.aspx?crumb=111

XStream 拒绝服务漏洞

CVE-2022-41966

组件介绍

XStream 是一个 Java 对象和 XML 相互转换的工具,可以将 Java 对象序列化成 XML (JSON)或将 XML 反序列化为对象。



漏洞描述

2022年12月24日,XStream官方发布安全公告,修复了XStream中的一个拒绝服务漏洞,漏洞编号为CVE-2022-41966,CVSSv3评分为8.2,漏洞危害等级为高危。

XStream版本1.4.20之前,攻击者可以通过注入递归集合或基于元素的哈希值映射来引起堆栈溢出,从而导致拒绝服务。

影响范围

目前受影响的 XStream  版本:

XStream  < 1.4.20

官方修复建议

目前该漏洞已经修复,受影响用户可升级到XStream 1.4.20或更高版本。

下载链接:https://x-stream.github.io/download.html

推荐阅读

Recommended

>北京市委网信办发布网络安全技术支撑单位遴选结果,梆梆安全成功入选

>梆梆安全顺利通过软件能力成熟度模型集成CMMI L3认证
> 再爆“盗脸”安全事件,梆梆安全深度解析人脸识别攻击与防护

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册哦

x
您需要登录后才可以回帖 登录 | 注册哦

本版积分规则