首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 企业安全
    3. 发新帖
[原创]华云安漏洞安全周报【第113期】
2022-12-28 14:31 8276

[原创]华云安漏洞安全周报【第113期】

华云安 活跃值
2022-12-28 14:31
8276

根据国家信息安全漏洞库(CNNVD)统计,本周(2022.12.05~2022.12.11)CNNVD接报漏洞600个,其中信息技术产品漏洞(通用型漏洞)185个,网络信息系统漏洞(事件型漏洞)415个;CNNVD接报漏洞预警135份,其中华云安报送预警8份!


本周重点关注漏洞包括:CVE-2022-45046 Apache Camel 安全漏洞、CVE-2022-43867 IBM Spectrum Scale 操作系统命令注入漏洞、CVE-2022-46682 Jenkins Plot Plugin 代码问题漏洞、CVE-2022-4378 Linux kernel 安全漏洞、Microsoft 12月多个安全漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。


01 CVE-2022-45046 Apache Camel 安全漏洞

威胁等级:超危

漏洞描述:

2022年12月05日,华云安思境安全团队发现Apache官方发布了安全通告,披露了 Apache Camel 存在安全漏洞。Apache Camel是Apache基金会下的一个开源项目,它是一个基于规则路由和中介引擎,提供企业集成模式的Java对象的实现,通过应用程序接口来配置路由和中介的规则。该漏洞被攻击者利用后,可导使用过滤器选项时,在camel-LDAP组件上进行LDAP注入。

情报来源:

https://camel.apache.org/security/CVE-2022-45046.html 



02 CVE-2022-43867 IBM Spectrum Scale 操作系统命令注入漏洞

威胁等级:高危

漏洞描述:

2022年12月06日,华云安思境安全团队发现IBM官方发布了安全公告,披露了IBM Spectrum Scale 5.1.0.1版本至5.1.4.1版本存在安全漏洞。IBM Spectrum Scale 是一款针对云计算、大数据、分析、对象等的高级非结构化数据存储管理解决方案,可支持包括性能、容量和节点数在内的多维度扩展,通过全局命名空间简化数据的管理和共享,提升数据的可用性、可靠性和完整性。该漏洞被攻击者利用后,可导致被执行任意命令。

情报来源:

https://www.ibm.com/support/pages/node/6844771 



03 CVE-2022-46682 Jenkins Plot Plugin 代码问题漏洞

威胁等级:高危

漏洞描述:

2022年12月07日,华云安思境安全团队发现Jenkins官网发布了安全公告。Jenkins Plot Plugin 2.1.11及之前版本存在代码问题漏洞。Jenkins Plugin是开源产品Jenkins的一个应用软件。该漏洞被利用攻击者能够控制“Plot build data”构建步骤的XML输入文件,从而让Jenkins解析一个使用外部实体从Jenkins控制器提取机密或服务器端请求伪造的特制文件。

情报来源:

https://www.jenkins.io/security/advisory/2022-12-07/#SECURITY-2940 



04 CVE-2022-4378 Linux kernel 安全漏洞

威胁等级:高危

漏洞描述:

2022年12月09日,华云安思境安全团队发现 Redhat官方披露了Linux kernel 存在安全漏洞。Linux kernel是开源操作系统Linux所使用的内核。攻击者利用该漏洞通过__do_proc_dointvec触发缓冲区溢出,攻击者可通过构造以 NULL 结尾的恶意字符串触发此漏洞,从而造成程序拒绝服务。

情报来源:

https://access.redhat.com/security/cve/cve-2022-4378 



05 Microsoft 12月多个安全漏洞

威胁等级:严重

漏洞描述:

2022年12月13日,华云安思境安全团队发现Microsoft官方发布12月份安全更新,此次安全更新发布了56个漏洞的补丁,主要覆盖了以下组件:Microsoft Windows 和 Windows 组件、Microsoft Windows Fax Compose Form、Microsoft Windows Hyper-V、Microsoft Windows Print Spooler Components、Microsoft Windows DirectX、Microsoft Windows Error Reporting等。其中45个高危漏洞,10个中危漏洞,1个低危漏洞。对此,华云安建议相关用户及时到 Microsoft 官方下载安装对应的安全补丁进行更新!

情报来源:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Dec 




华云安

华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。



[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回