根据统计,本周(2023.01.30~2023.02.05)CNNVD接报漏洞424个,其中信息技术产品漏洞(通用型漏洞)133个,网络信息系统漏洞(事件型漏洞)291个,CNNVD接报漏洞预警97份。
本周重点关注漏洞包括:CVE-2022-24963 Apache Portable Runtime 输入验证错误漏洞、CVE-2022-28331 Apache Portable Runtime 缓冲区错误漏洞、CVE-2023-24997 Apache InLong 代码问题漏洞、CVE-2023-20854 VMware Workstation 代码注入漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01
CVE-2022-24963 Apache Portable Runtime 输入验证错误漏洞
威胁等级:超危
漏洞描述:
2023年01月31日,华云安思境安全团队发现 Apache官网发布了安全更新,披露了 Apache Portable Runtime(APR) 1.7.0版本存在输入验证错误漏洞。Apache Portable Runtime是阿帕奇(Apache)基金会的一个为上层应用程序提供可跨越多个操作系统平台使用的底层支持接口库。攻击者利用该漏洞构造特定函数实现整数溢出或环绕错误,致使向缓冲区边界以外写入数据。
情报来源:
https://lists.apache.org/thread/fw9p6sdncwsjkstwc066vz57xqzfksq9
02
CVE-2022-28331 Apache Portable Runtime 缓冲区错误漏洞
威胁等级:超危
漏洞描述:
2023年01月31日,华云安思境安全团队发现 Apache 官网发布了安全更新,披露了Apache Portable Runtime 1.7.0及以前版本存在缓冲区错误漏洞。Apache Portable Runtime是阿帕奇(Apache)基金会的一个为上层应用程序提供可跨越多个操作系统平台使用的底层支持接口库。攻击者可以利用apr_socket_sendv()函数中存在的该漏洞实现整数溢出,并导致在栈缓冲区末端之外写入数据。
情报来源:
https://lists.apache.org/thread/5pfdfn7h0vsdo5xzjn97vghp0x42jj2r
03
CVE-2023-24997 Apache InLong 代码问题漏洞
威胁等级:超危
漏洞描述:
2022年02月01日,华云安思境安全团队发现 Apache 官方网站发布了安全更新,披露了 Apache InLong 1.1.0版本至1.5.0版本存在代码问题漏洞。Apache InLong 是 Apache 基金会的一站式海量数据集成框架,提供自动、安全、可靠和高性能的数据传输能力。攻击者利用该漏洞构建特定语法可在 Apache InLong 服务器上执行远程代码。
情报来源:
https://lists.apache.org/thread/nxvtxq7oxhwyzo9ty2hqz8rvh5r7ngd8
04
CVE-2023-20854 VMware Workstation 代码注入漏洞
威胁等级:高危
漏洞描述:
2023年02月02日,华云安思境安全团队发现 VMware 官网发布了安全更新,披露了 VMware Workstation 17.x系列 17.0.1之前版本存在代码注入漏洞。VMware Workstation 是一款桌面虚拟计算机软件,用户可以在虚拟机同时运行各种操作系统,进行开发、测试、演示和部署软件等工作。攻击者利用该漏洞可以从安装了 Workstation 的机器的文件系统中删除任意文件。
https://www.vmware.com/security/advisories/VMSA-2023-0003.html
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
进入“华云安漏洞情报平台”查阅详情
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...