正文

华云安漏洞安全周报【第113期】

admin
admin V管理员 /0 评论 /344 阅读
1217
此篇文章发布距今已超过767天,您需要注意文章的内容或图片是否可用!


根据,本周(2022.12.05~2022.12.11)CNNVD接报漏洞600个,其中信息技术产品漏洞(通用型漏洞)185个,网络信息系统漏洞(事件型漏洞)415个;CNNVD接报漏洞预警135份,其中华云安报送预警8份!


本周重点关注漏洞包括:CVE-2022-45046 Apache Camel 安全漏洞、CVE-2022-43867 IBM Spectrum Scale 操作系统命令注入漏洞、CVE-2022-46682 Jenkins Plot Plugin 代码问题漏洞、CVE-2022-4378 Linux kernel 安全漏洞、Microsoft 12月多个安全漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。


01

CVE-2022-45046 Apache Camel 安全漏洞


威胁等级:超危

漏洞描述:

2022年12月05日,华云安思境安全团队发现Apache官方发布了安全通告,披露了 Apache Camel 存在安全漏洞。Apache Camel是Apache基金会下的一个开源项目,它是一个基于规则路由和中介引擎,提供企业集成模式的Java对象的实现,通过应用程序接口来配置路由和中介的规则。该漏洞被攻击者利用后,可导使用过滤器选项时,在camel-LDAP组件上进行LDAP注入。

情报来源

https://camel.apache.org/security/CVE-2022-45046.html


02

CVE-2022-43867 IBM Spectrum Scale 操作系统命令注入漏洞


威胁等级:高危

漏洞描述:

2022年12月06日,华云安思境安全团队发现IBM官方发布了安全公告,披露了IBM Spectrum Scale 5.1.0.1版本至5.1.4.1版本存在安全漏洞。IBM Spectrum Scale 是一款针对云计算、大数据、分析、对象等的高级非结构化数据存储管理解决方案,可支持包括性能、容量和节点数在内的多维度扩展,通过全局命名空间简化数据的管理和共享,提升数据的可用性、可靠性和完整性。该漏洞被攻击者利用后,可导致被执行任意命令。

情报来源:

https://www.ibm.com/support/pages/node/6844771


03

CVE-2022-46682 Jenkins Plot Plugin 代码问题漏洞


威胁等级:高危

漏洞描述:

2022年12月07日,华云安思境安全团队发现Jenkins官网发布了安全公告。Jenkins Plot Plugin 2.1.11及之前版本存在代码问题漏洞。Jenkins Plugin是开源产品Jenkins的一个应用软件。该漏洞被利用攻击者能够控制“Plot build data”构建步骤的XML输入文件,从而让Jenkins解析一个使用外部实体从Jenkins控制器提取机密或服务器端请求伪造的特制文件。

情报来源:

https://www.jenkins.io/security/advisory/2022-12-07/#SECURITY-2940


04

CVE-2022-4378 Linux kernel 安全漏洞


威胁等级:高危

漏洞描述:

2022年12月09日,华云安思境安全团队发现 Redhat官方披露了Linux kernel 存在安全漏洞。Linux kernel是开源操作系统Linux所使用的内核。攻击者利用该漏洞通过__do_proc_dointvec触发缓冲区溢出,攻击者可通过构造以 NULL 结尾的恶意字符串触发此漏洞,从而造成程序拒绝服务。

情报来源:

https://access.redhat.com/security/cve/cve-2022-4378


05

Microsoft 12月多个安全漏洞


威胁等级:严重

漏洞描述:

2022年12月13日,华云安思境安全团队发现Microsoft官方发布12月份安全更新,此次安全更新发布了56个漏洞的补丁,主要覆盖了以下组件:Microsoft Windows 和 Windows 组件、Microsoft Windows Fax Compose Form、Microsoft Windows Hyper-V、Microsoft Windows Print Spooler Components、Microsoft Windows DirectX、Microsoft Windows Error Reporting等。其中45个高危漏洞,10个中危漏洞,1个低危漏洞。对此,华云安建议相关用户及时到 Microsoft 官方下载安装对应的安全补丁进行更新!

情报来源:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Dec


华云安

华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。

进入“华云安漏洞情报平台”查阅详情




华云安漏洞安全周报【第113期】


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客