华云安漏洞安全周报【第106期】

威胁等级：高危

漏洞描述：

2022年10月18日，华云安思境安全团队发现 OpenSSL 官方发布安全更新，披露了 OpenSSL 组件中存在一处代码问题漏洞。OpenSSL 是一个开源的能够实现安全套接层（SSLv2/v3）和安全传输层（TLSv1）协议的通用加密库，该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。该漏洞是由于错误地处理了传递给某些函数的旧自定义密码引起，这可能使 OpenSSL 加密/解密初始化函数将 NULL 密码匹配为等效密码，从而导致明文将作为密文发出。

情报来源：

https://www.openssl.org/news/secadv/20221011.txt

威胁等级：高危

漏洞描述：

2022年10月18日，华云安思境安全团队发现 Apache 官方发布安全更新，披露了 Apache Dubbo Hession 组件中存在一处反序列化漏洞。Apache Dubbo是一款基于 Java 的轻量级 RPC（远程过程调用）框架，该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。Dubbo hessian-lite 3.2.12及之前版本存在反序列化漏洞，成功利用此漏洞可能导致恶意代码执行。

情报来源：

https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk

威胁等级：严重

漏洞描述：

2022年10月19日，华云安思境安全团队发现 Oracle 官方发布了10月补丁更新公告，此次共发布了370个新安全补丁，涉及 Oracle 和第三方组件中的漏洞。主要涵盖了 Oracle Communications Cloud Native Core Security Edge Protection Proxy、Oracle Communications Cloud Native Core Unified Data Repository、Oracle Communications Diameter Signaling Router、Oracle Communications Element Manager、Oracle Communications Policy Management、Oracle Communications User Data Repository 等多个产品。其中有64个漏洞无需身份验证即可远程利用。对此，华云安建议相关用户及时到 Oracle 官方下载安装对应的安全补丁进行更新！

情报来源：

https://www.oracle.com/security-alerts/cpuoct2022.html

威胁等级：超危

漏洞描述：

2022年10月20日，华云安思境安全团队发现 Synology 官方发布安全更新，披露了 DiskStation Manager 组件中存在 CVE-2022-27624、CVE-2022-27625、CVE-2022-27626、CVE-2022-3576 等4个安全漏洞。Synology DiskStation Manager (DSM) 是专为 Synology NAS 打造的人性化操作系统，具有直观的图形管理界面、精简的操作流程，可轻松实现存储、管理和备份数据。成功利用这些漏洞可能导致敏感信息泄露或远程执行任意命令。

情报来源：

https://www.synology.cn/zh-cn/security/advisory/Synology_SA_22_17

华云安