根据国家信息安全漏洞库（CNNVD）统计，本周（2022.11.14~2022.11.20）CNNVD接报漏洞317个，其中信息技术产品漏洞（通用型漏洞）144个，网络信息系统漏洞（事件型漏洞）173个，其中华云安报送1个；CNNVD接报漏洞预警69份，其中华云安报送预警10份！预警报送数量位列第一！

本周重点关注漏洞包括：CVE-2022-42898 Samba缓冲区溢出漏洞、CVE-2022-45047 Apache MINA SSHD反序列化漏洞、CVE-2022-43782-Atlassian Crowd 安全配置错误漏洞、CVE-2022-40752-IBM InfoSphere DataStage 命令注入漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2022-42898 Samba缓冲区溢出漏洞

威胁等级：中危

漏洞描述：

2022年11月15日，华云安思境安全团队发现 Samba官方发布安全更新，披露了 Samba软件中修复了一个缓冲区溢出漏洞。Samba的 Kerberos 库和AD DC在32位系统上解析特权属性证书（PAC）时未能防止整数溢出问题，恶意用户可以使用伪造的PAC，在32位系统中放置可控的16字节数据，成功利用该漏洞可能导致拒绝服务或远程代码执行等。

情报来源：

https://www.samba.org/samba/security/CVE-2022-42898.html 

02 CVE-2022-45047 Apache MINA SSHD反序列化漏洞

威胁等级：超危

漏洞描述：

2022年11月15日，华云安思境安全团队发现 Apache Commons BCEL 组件被披露存在越界写入漏洞。Apache MINA是一个能够帮助用户开发高性能和高可扩展性网络应用程序的框架，Apache MINA SSHD是支持客户端和服务器端的SSH 协议的综合Java库。Apache MINA SSHD 2.9.1及之前版本中，类org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider使用不安全的Java反序列化来加载序列化的java.security.PrivateKey，当数据不可信时，可能导致代码执行。

情报来源：

https://www.mail-archive.com/dev@mina.apache.org/msg39312.html     

03 CVE-2022-43782-Atlassian Crowd 安全配置错误漏洞

威胁等级：超危

漏洞描述：

2022年11月16日，华云安思境安全团队发现atlassian官方发布安全更新，披露了 Atlassian Crowd 3.0.0及之后版本中存在安全配置错误漏洞。Atlassian Crowd是一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。

情报来源：

https://confluence.atlassian.com/crowd/crowd-security-advisory-november-2022-1168866129.html  

04 CVE-2022-40752-IBM InfoSphere DataStage 命令注入漏洞

威胁等级：超危

漏洞描述：

2022年11月16日，华云安思境安全团队发现IBM 官方发布安全更新，披露了 IBM InfoSphere DataStage Flow Designer 11.7版本存在命令注入漏洞。IBM InfoSphere DataStage Flow Designer是一个基于 Web 的数据阶段流程设计器。该漏洞会被攻击者利用构建请求执行命令注入漏洞的攻击。

情报来源：

https://www.ibm.com/support/pages/node/6833566 

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。