欢迎关注
腾讯安全威胁情报中心
2022年10月,微软发布了2022年10月的例行安全更新公告,共涉及漏洞数86 个,其中严重级别漏洞13个。本次发布涉及 Microsoft Windows、Windows Offices、及 Visual Studio、Microsoft Edge、Microsoft Exchange等多个软件的安全更新。其中有两个关注度较高的Microsoft Exchange漏洞,漏洞编号为:CVE-2022-41040 & CVE-2022-41082,前者是服务器端请求伪造 (SSRF) 漏洞,而后者允许在攻击者可以访问 PowerShell 时远程执行代码 (RCE)。攻击者通过对这两个漏洞组合利用,可对Exchange Server进行远程代码执行攻击。
风险等级:
影响版本:
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 22
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 11
Microsoft Exchange Server 2019 Cumulative Update 12
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080#securityUpdates
腾讯安全近期监测到Apache Commons Text team官方发布了Apache Commons Text组件的风险公告,漏洞编号为:CVE-2022-42889,可导致远程执行任意代码等危害。
Apache Commons Text 是一个低级库,用于执行各种文本操作,例如转义、计算字符串差异以及用通过插值器查找的值替换文本中的占位符。
据描述,当使用Apache Commons Text中的字符串替换功能时,一些可用的插值器可以触发网络访问或代码执行。如果应用程序在传递给替换的字符串中包含用户输入而未对其进行适当清理,则攻击者将允许攻击者触发这些插值器。
漏洞状态:
风险等级:
影响版本:
1.5.0 ≤ Apache Commons Text < 1.10.0
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://commons.apache.org/proper/commons-text/security.html
腾讯安全近期监测到Apache官方发布了Apache Dubbo的风险公告,漏洞编号为:CVE-2022-39198,可导致远程执行任意代码等危害。
Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。
据描述,由于其中集成模块Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目标系统上执行恶意代码。
漏洞状态:
风险等级:
影响版本:
由于Dubbo中默认集成此模块,所以Dubbo也受影响,影响版本如下:
2.7.0 ≤ Apache Dubbo ≤ 2.7.17
3.0.0 ≤ Apache Dubbo ≤ 3.0.11
Apache Dubbo = 3.1.0
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://github.com/apache/dubbo/releases
https://github.com/apache/dubbo-hessian-lite/releases
概述:
腾讯安全近期监测到有安全研究人员发布了Apache Commons Jxpath组件的风险公告,漏洞编号为:CVE-2022-41852,可导致远程执行任意代码等危害。
Apache Commons Jxpath 是一个java库,是Xpath基于java语言的一种实现。
据描述,使用 JXPath 来解释不受信任的 XPath 表达式可能容易受到远程代码执行攻击,攻击者可以使用 XPath 表达式从类路径加载任何 Java 类,从而导致代码执行。
Apache Commons Jxpath ≤ 1.3
该组件维护由开源社区驱动,目前正在积极讨论修复方案,安全补丁暂未完成。
方案讨论区:https://github.com/apache/commons-jxpath/pull/26
可暂时采取以下措施缓解此漏洞影响:
1、严格过滤 xpath 规则输入,非必要不设为外部可控输入
2、使用其他相似组件替代
概述:
腾讯安全近期监测到Vmware官方发布了Vmware vCenter Server的风险公告,漏洞编号为:CVE-2022-31680,可导致远程执行任意代码等危害。
VMware vCenter 是一种高级服务器管理软件,它提供了一个集中式平台来控制 vSphere 环境以实现跨混合云的可见性。
据描述,vCenter Server 在 PSC(平台服务控制器)中包含一个不安全的反序列化漏洞。在 vCenter Server 上具有管理员访问权限的恶意行为者可能会利用此问题在托管 vCenter Server 的底层操作系统上执行任意代码。
漏洞状态:
风险等级:
影响版本:
VMware vCenter Server 6.5:a
VMware vCenter Server 6.5:b
VMware vCenter Server 6.5:c
VMware vCenter Server 6.5:d
VMware vCenter Server 6.5:update1
VMware vCenter Server 6.5:update1b
VMware vCenter Server 6.5:update1c
VMware vCenter Server 6.5:update1d
VMware vCenter Server 6.5:update1e
VMware vCenter Server 6.5:update1g
VMware vCenter Server 6.5:update2
VMware vCenter Server 6.5:update2b
VMware vCenter Server 6.5:update2c
VMware vCenter Server 6.5:update2d
VMware vCenter Server 6.5:update2e
VMware vCenter Server 6.5:update2g
VMware vCenter Server 6.5:update3
VMware vCenter Server 6.5:update3d
VMware vCenter Server 6.5:update3f
VMware vCenter Server 6.5:update3k
VMware vCenter Server 6.5:update3n
VMware vCenter Server 6.5:update3p
VMware vCenter Server 6.5:update3q
VMware vCenter Server 6.5:update3r
VMware vCenter Server 6.5:update3s
VMware vCenter Server 6.5:update3t
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://www.vmware.com/security/advisories/VMSA-2022-0025.html
腾讯安全近期监测到Apache官方发布了Apache Linkis 的风险公告,漏洞编号为:CVE-2022-39944,可导致远程执行任意代码等危害。
Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。
据描述,当 Apache Linkis和MySQL Connector/J一起使用,且对数据库具有写入权限时,可以使用MySQL数据源和恶意参数配置JDBC EC导致反序列化漏洞,可能导致远程代码执行。
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://github.com/apache/incubator-linkis/releases/tag/1.3.0
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。
往期企业必修漏洞清单
2022年06月必修安全漏洞清单 2022年05月必修安全漏洞清单 2022年04月必修安全漏洞清单 2022年03月必修安全漏洞清单 2022年02月必修安全漏洞清单 2022年01月必修安全漏洞清单 2021年12月必修安全漏洞清单 2021年11月必修安全漏洞清单