华云安漏洞安全周报【第99期】

威胁等级：超危

漏洞描述：

2022年8月22日，华云安思境安全团队发现 Apache 官方发布安全更新，披露了 Apache Flume 组件中存在一处 JNDI 注入漏洞。Apache Flume 是一种分布式、可靠且可用的服务，用于高效收集、聚合和移动大量日志数据。该漏洞是由于 JMSMessageConsumer 中的输入验证不正确引起，可能导致JNDI注入。成功利用此漏洞的攻击者控制配置使用带有 JNDI LDAP 数据源 URI 的 JMS Source 的 LDAP 服务器时容易受到远程代码执行攻击。

情报来源：

https://lists.apache.org/thread/qkmt4r2t9tbrxrdbjg1m2oczbvczd9zn

威胁等级：超危

漏洞描述：

2022年8月23日，华云安思境安全团队发现 GitLab 官方发布安全更新，披露了 GitLab 组件中存在一处远程代码执行漏洞。GitLab 是一个用于仓库管理系统的开源项目，使用 Git 作为代码管理工具，可通过 Web 界面访问公开或私人项目。成功利用此漏洞的攻击者在经过身份验证的情况下，可通过 Import from GitHub API 端点执行远程代码攻击。

情报来源：

https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/

威胁等级：高危

漏洞描述：

2022年8月23日，华云安思境安全团队发现 Apple 官方发布安全更新，披露了 Apple WebKit 组件中存在一处代码执行漏洞。WebKit 是一个开源的 Web 浏览器引擎(Web browser engine)，它是 Apple iOS、BlackBerry Tablet OS、Tizen 及 Amazon Kindle 的默认浏览器。该漏洞是由于在 Apple WebKit 中的一个越界写入问题，成功利用此漏洞的攻击者可以通过处理恶意制作的网络内容来触发，导致任意代码执行。

情报来源：

https://support.apple.com/en-gb/HT213412

威胁等级：中危

漏洞描述：

2022年8月24日，华云安思境安全团队发现 PostgreSQL JDBC Driver 组件中被披露存在一处 SQL 注入漏洞。PostgreSQL JDBC Driver（简称 PGJDBC）是一个用 Pure Java（Type 4）编写的开源 JDBC 驱动程序，允许 Java 程序使用标准的、独立于数据库的 Java 代码连接到 PostgreSQL 数据库。该漏洞是由于包含语句终止符的恶意列名引起，成功利用此漏洞的攻击者可以以应用程序的 JDBC 用户身份执行其他 SQL 命令。

情报来源：

https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-r38f-c4h4-hqq2

威胁等级：高危

漏洞描述：

2022年8月25日，华云安思境安全团队发现 Mozilla 官方发布安全更新，修复了 Firefox 、Firefox ESR 和 Thunderbird 中的多个安全漏洞。Mozilla Firefox是一款开源Web浏览器；Mozilla Firefox ESR是 Firefox(Web浏览器)的一个延长支持版本。成功利用这些漏洞可能导致任意代码执行。目前 Mozilla 已经发布了相关产品的安全更新，对此华云安建议受影响用户可到 Mozilla 下载更新 Firefox 104、Firefox ESR 91.13、Firefox ESR 102.2 、Thunderbird 91.13、Thunderbird 102.2 或更高版本。

情报来源：

https://www.mozilla.org/en-US/security/advisories/mfsa2022-33/