升級(jí)包下載:SP_003_n_upgrade_package_2021-08-13.zip
CVE-2021-3449: Openssl OpenSSL 代碼問題漏洞:OpenSSL是Openssl團(tuán)隊(duì)的一個(gè)開源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫.該產(chǎn)品支持多種加密算法,包括對(duì)稱密碼、哈希算法、安全散列算法等. OpenSSL 1.1.1h-1.1.1j 存在代碼問題漏洞,該漏洞導(dǎo)致空指針解引用,導(dǎo)致崩潰和拒絕服務(wù)攻擊. 目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
CVE-2019-1551:Openssl OpenSSL 信息泄露漏洞:OpenSSL是OpenSSL團(tuán)隊(duì)的一個(gè)開源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫.該產(chǎn)品支持多種加密算法,包括對(duì)稱密碼、哈希算法、安全散列算法等. OpenSSL 1.1.1版本至1.1.1d版本和1.0.2版本至1.0.2t版本中存在信息泄露漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在運(yùn)行過程中存在配置等錯(cuò)誤.未授權(quán)的攻擊者可利用漏洞獲取受影響組件敏感信息.目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://www.openssl.org/news/secadv/20191206.txt
CVE-2021-22144:Elasticsearch 資源管理錯(cuò)誤漏洞:Elasticsearch是荷蘭Elasticsearch公司的一套基于Lucene構(gòu)建的開源分布式RESTful搜索引擎.該產(chǎn)品主要應(yīng)用于云計(jì)算,并支持通過HTTP使用JSON進(jìn)行數(shù)據(jù)索引. Elasticsearch 存在資源管理錯(cuò)誤漏洞,該漏洞源于Grok查詢觸發(fā)Elasticsearch的過載.攻擊者可利用該漏洞觸發(fā)拒絕服務(wù).目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,詳情請(qǐng)關(guān)注廠商主頁: https://vigilance.fr/vulnerability/Elasticsearch-denial-of-service-via-Grok-35840
CVE-2021-32790:WordPress SQL注入漏洞:WordPress是WordPress(Wordpress)基金會(huì)的一套使用PHP語言開發(fā)的博客平臺(tái).該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站. WordPress Woocommerce存在SQL注入漏洞.該漏洞源于基于數(shù)據(jù)庫的應(yīng)用缺少對(duì)外部輸入SQL語句的驗(yàn)證.攻擊者可利用該漏洞執(zhí)行非法SQL命令.目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://github.com/woocommerce/woocommerce/security/advisories/GHSA-7vx5-x39w-q24g
CVE-2021-32667:跨站腳本漏洞TYPO3是瑞士TYPO3(Typo3)協(xié)會(huì)的一套免費(fèi)開源的內(nèi)容管理系統(tǒng)(框架)(CMS/CMF). TYPO3存在安全漏洞,該漏洞源于當(dāng)Page TSconfig設(shè)置沒有正確編碼時(shí),相應(yīng)的頁面預(yù)覽模塊(Web>View)容易受到持久的跨站點(diǎn)腳本攻擊.目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://typo3.org/security/advisory/typo3-core-sa-2021-009 CNNVD-202107-1509
CVE-2021-32761:Redis 輸入驗(yàn)證錯(cuò)誤漏洞 CVE-2021-32761 Redis Labs Redis是美國Redis Labs公司的一套開源的使用ANSI C編寫、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、鍵值(Key-Value)存儲(chǔ)數(shù)據(jù)庫,并提供多種語言的API. Redis存在安全漏洞,該漏洞涉及將默認(rèn)的“proto-max-bulk-len”配置參數(shù)更改為一個(gè)非常大的值,并構(gòu)造專門制作的命令位命令. 目前廠商暫未發(fā)布修復(fù)措施解決此安全問題,建議使用此軟件的用戶隨時(shí)關(guān)注廠商主頁或參考網(wǎng)址以獲取解決辦法: https://github.com/redis/redis/security/advisories/GHSA-8wxq-j7rp-g8wj CNNVD-202107-1615 0
CVE-2020-36311, CVE-2021-33909, CVE-2021-34693, CVE-2021-3609,CVE-2020-36311:Debian: linux安全建議(DSA-4941-1) Linux kernel是美國Linux基金會(huì)的開源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel 5.9之前版本存在安全漏洞,該漏洞允許攻擊者通過觸發(fā)破壞大型SEV虛擬機(jī)來導(dǎo)致拒絕服務(wù).
CVE-2021-33909:Linux kernel是美國Linux基金會(huì)的開源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于一個(gè)越界寫入缺陷.
CVE-2021-34693:Linux kernel是美國Linux基金會(huì)的開源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel 存在安全漏洞,該漏洞允許本地用戶從net/can/bcm.c中獲取敏感信息,因?yàn)閿?shù)據(jù)結(jié)構(gòu)的某些部分是未初始化的.
CVE-2021-3609:Linux kernel是美國Linux基金會(huì)的開源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel 存在競(jìng)爭(zhēng)條件問題漏洞,該漏洞源于在Linux內(nèi)核中發(fā)現(xiàn)一個(gè)缺陷,bcm_release() 和 bcm_rx_handler() 之間發(fā)生競(jìng)爭(zhēng)條件.攻擊者可利用該漏洞導(dǎo)致本地權(quán)限提升 The remote host is missing an update for the 'linux'
package(s) announced via the DSA-4941-1 advisory. 8 CVE-2020-36311:目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7be74942f184fdfba34ddd19a0d995deb34d4a03
CVE-2021-33909:目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.13.4
CVE-2021-34693:目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://lore.kernel.org/netdev/trinity-87eaea25-2a7d-4aa9-92a5-269b822e5d95-1623609211076@3c-app-gmx-bs04/T/
CVE-2021-3609:目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,詳情請(qǐng)關(guān)注廠商主頁:https://access.redhat.com/security/cve/cve-2021-3609 CNNVD-202104-358,CNNVD-202107-1534,CNNVD-202106-1239,CNNVD-202106-1440.
CVE-2021-34452:代碼注入漏洞 Microsoft Office是美國微軟(Microsoft)公司的一款辦公軟件套件產(chǎn)品.該產(chǎn)品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等. Microsoft Office存在代碼注入漏洞.以下產(chǎn)品和版本受到影響:Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft Word 2016 (64-bit edition),Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Word 2016 (32-bit edition) 目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34452 CNNVD-202107-818 0
CVE-2021-22898, CVE-2021-22925, CVE-2021-22924:針對(duì)curl的安全建議(USN-5021-1)CVE-2021-22898:HAXX libcurl是瑞典Haxx(HAXX)公司的一款開源的客戶端URL傳輸庫。該產(chǎn)品支持FTP、SFTP、TFTP和HTTP等協(xié)議。
curl存在安全漏洞,該漏洞源于libcurl可以將未初始化的數(shù)據(jù)從基于堆棧的緩沖區(qū)傳遞到服務(wù)器導(dǎo)致使用明文網(wǎng)絡(luò)協(xié)議將敏感的內(nèi)部信息泄露給服務(wù)。
CVE-2021-22925:Arch Linux是Arch開源的一個(gè)應(yīng)用系統(tǒng)。一個(gè)輕量級(jí)且靈活的Linux®發(fā)行版,試圖使它保持簡(jiǎn)單。
Arch Linux中存在安全漏洞,該漏洞源于處理TELNET請(qǐng)求并解析NEW_ENV時(shí)使用了未初始化的變量,遠(yuǎn)程攻擊者可以利用該漏最多讀取1800字節(jié)的影響控制TELNET服務(wù)器。 受影響的產(chǎn)品及版本包括:Arch Linux:所有版本
CVE-2021-22924:Arch Linux是Arch開源的一個(gè)應(yīng)用系統(tǒng)。一個(gè)輕量級(jí)且靈活的Linux®發(fā)行版,試圖使它保持簡(jiǎn)單。
Arch Linux中存在信任管理問題漏洞,該漏洞源于產(chǎn)品的配置匹配函數(shù)不能正確處理 issuer cert 并且比較路徑時(shí)邏輯錯(cuò)誤。攻擊者可通過該漏洞訪問系統(tǒng)的敏感信息。 以下產(chǎn)品及版本受到影響:libcurl-gnutls 7.78.0-1 之前版本。
CVE-2021-22898:目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://curl.se/docs/CVE-2021-22898.html
CVE-2021-22925:目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://security.archlinux.org/advisory/ASA-202107-63
CVE-2021-22924:目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,詳情請(qǐng)關(guān)注廠商主頁: https://security.archlinux.org/advisory/ASA-202107-63 CNNVD-202105-1685,CNNVD-202107-1582,CNNVD-202107-1569,
CVE-2021-23017:Nginx 安全漏洞 NGINX Controller是美國F5公司的一款用于NGINX的集中式監(jiān)視和管理平臺(tái).該平臺(tái)支持使用可視化界面管理多個(gè)NGINX實(shí)例. F5 NGINX Controller存在安全漏洞,該漏洞允許攻擊者從DNS服務(wù)器偽造UDP數(shù)據(jù)包造成1-byte的內(nèi)存覆蓋,導(dǎo)致工作進(jìn)程崩潰或潛在的其他影響.目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://www.nginx.com/blog/updating-nginx-dns-resolver-vulnerability-cve-2021-23017/ CNNVD-202105-1581 0
CVE-2021-21341, CVE-2021-21342, CVE-2021-21343, CVE-2021-21344, CVE-2021-21345, CVE-2021-21346, CVE-2021-21347, CVE-2021-21348, CVE-2021-21349, CVE-2021-21350, CVE-2021-21351:針對(duì)xstream的安全建議(openSUSE- su -2021:1840-1) CVE-2021-21341:XStream是XStream(Xstream)團(tuán)隊(duì)的一個(gè)輕量級(jí)的、簡(jiǎn)單易用的開源Java類庫,它主要用于將對(duì)象序列化成XML(JSON)或反序列化為對(duì)象. XStream 1.4.16 之前版本存在代碼問題漏洞,該漏洞允許遠(yuǎn)程攻擊者根據(jù)CPU類型或此類有效負(fù)載的并行執(zhí)行,導(dǎo)致拒絕服務(wù).
CVE-2021-21342:XStream是XStream(Xstream)團(tuán)隊(duì)的一個(gè)輕量級(jí)的、簡(jiǎn)單易用的開源Java類庫,它主要用于將對(duì)象序列化成XML(JSON)或反序列化為對(duì)象. XStream 存在代碼問題漏洞,攻擊者可利用該漏洞可以操縱已處理的輸入流并替換或注入對(duì)象,從而導(dǎo)致服務(wù)器端偽造請(qǐng)求.
CVE-2021-21343:XStream是XStream(Xstream)團(tuán)隊(duì)的一個(gè)輕量級(jí)的、簡(jiǎn)單易用的開源Java類庫,它主要用于將對(duì)象序列化成XML(JSON)或反序列化為對(duì)象. XStream 1.4.16 之前版本存在安全漏洞,攻擊者可利用該漏洞可以操縱已處理的輸入流并替換或注入對(duì)象,從而導(dǎo)致本地主機(jī)上的文件被刪除.
CVE-2021-21344:XStream是XStream(Xstream)團(tuán)隊(duì)的一個(gè)輕量級(jí)的、簡(jiǎn)單易用的開源Java類庫,它主要用于將對(duì)象序列化成XML(JSON)或反序列化為對(duì)象. XStream before version 1.4.16 存在代碼問題漏洞,該漏洞允許遠(yuǎn)程攻擊者可利用該漏洞僅通過操作已處理的輸入流,就可以從遠(yuǎn)程主機(jī)加載和執(zhí)行任意代碼.
CVE-2021-21345:XStream是XStream(Xstream)團(tuán)隊(duì)的一個(gè)輕量級(jí)的、簡(jiǎn)單易用的開源Java類庫,它主要用于將對(duì)象序列化成XML(JSON)或反序列化為對(duì)象. XStream 1.4.16 之前版本存在代碼問題漏洞,攻擊者可利用該漏洞僅通過操作已處理的輸入流來執(zhí)行主機(jī)的命令.
CVE-2021-21346:XStream是XStream(Xstream)團(tuán)隊(duì)的一個(gè)輕量級(jí)的、簡(jiǎn)單易用的開源Java類庫,它主要用于將對(duì)象序列化成XML(JSON)或反序列化為對(duì)象. XStream 1.4.16 之前版本存在代碼問題漏洞,該漏洞源于遠(yuǎn)程攻擊者僅通過操作已處理的輸入流,就可以從遠(yuǎn)程主機(jī)加載和執(zhí)行任意代碼.
CVE-2021-21347:XStream是XStream(Xstream)團(tuán)隊(duì)的一個(gè)輕量級(jí)的、簡(jiǎn)單易用的開源Java類庫,它主要用于將對(duì)象序列化成XML(JSON)或反序列化為對(duì)象. XStream 1.4.16之前版本存在代碼問題漏洞,該漏洞允許遠(yuǎn)程攻擊者僅通過操作已處理的輸入流,就可以從遠(yuǎn)程主機(jī)加載和執(zhí)行任意代碼.
CVE-2021-21348:XStream是XStream(Xstream)團(tuán)隊(duì)的一個(gè)輕量級(jí)的、簡(jiǎn)單易用的開源Java類庫,它主要用于將對(duì)象序列化成XML(JSON)或反序列化為對(duì)象. XStream 1.4.16 之前版本存在代碼問題漏洞,該漏洞允許遠(yuǎn)程攻擊者可以利用這個(gè)漏洞來消耗最大的CPU時(shí)間.
CVE-2021-21349:XStream是XStream(Xstream)團(tuán)隊(duì)的一個(gè)輕量級(jí)的、簡(jiǎn)單易用的開源Java類庫,它主要用于將對(duì)象序列化成XML(JSON)或反序列化為對(duì)象. XStream 1.4.16 之前版本存在代碼問題漏洞,該漏洞源于WEB應(yīng)用未充分驗(yàn)證請(qǐng)求是否來自可信用戶.攻擊者可利用該漏洞通過受影響客戶端向服務(wù)器發(fā)送非預(yù)期的請(qǐng)求.
CVE-2021-21350:XStream是XStream(Xstream)團(tuán)隊(duì)的一個(gè)輕量級(jí)的、簡(jiǎn)單易用的開源Java類庫,它主要用于將對(duì)象序列化成XML(JSON)或反序列化為對(duì)象. XStream 1.4.16 之前版本存在代碼問題漏洞,攻擊者可利用該漏洞僅通過操作已處理的輸入流來執(zhí)行任意代碼.
CVE-2021-21351:XStream是XStream(Xstream)團(tuán)隊(duì)的一個(gè)輕量級(jí)的、簡(jiǎn)單易用的開源Java類庫,它主要用于將對(duì)象序列化成XML(JSON)或反序列化為對(duì)象. XStream 1.4.16 之前版本存在代碼問題漏洞,攻擊者可利用該漏洞僅通過操作已處理的輸入流來加載和執(zhí)行遠(yuǎn)程主機(jī)上的任意代碼.目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: http://x-stream.github.io/changes.html#1.4.16 CNNVD-202103-1246,CNNVD-202103-1244,CNNVD-202103-1242,CNNVD-202103-1239,CNNVD-202103-1237,CNNVD-202103-1283,CNNVD-202103-1282,CNNVD-202103-1238,CNNVD-202103-1236,CNNVD-202103-1233,CNNVD-202103-1234,
CVE-2021-36740:環(huán)境問題漏洞 Varnish Cache是一套反向網(wǎng)站緩存服務(wù)器. Varnish Enterprise 存在安全漏洞,該漏洞源于啟用 HTTP/2 的 Varnish 緩存允許通過 POST 請(qǐng)求的大型 Content-Length 標(biāo)頭進(jìn)行請(qǐng)求走私和VCL授權(quán)繞過.以下產(chǎn)品及版本受到影響:Varnish Enterprise 6.0.x before 6.0.8r3, and Varnish Cache 5.x and 6.x before 6.5.2, 6.6.x before 6.6.1, and 6.0 LTS before 6.0.8. 目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,詳情請(qǐng)關(guān)注廠商主頁: https://github.com/varnishcache/varnish-cache. CNNVD-202107-986 CVE-2021-22925, CVE-2021-22924, CVE-2021-22923, CVE-2021-22922, CVE-2021-22898:curl的安全建議(Fedora -2021-83fdddca0f) CVE-2021-22925, CVE-2021-22924, CVE-2021-22923, CVE-2021-22922, CVE-2021-22898 CVE-2021-22925:Arch Linux是Arch開源的一個(gè)應(yīng)用系統(tǒng)。一個(gè)輕量級(jí)且靈活的Linux®發(fā)行版,試圖使它保持簡(jiǎn)單。
Arch Linux中存在安全漏洞,該漏洞源于處理TELNET請(qǐng)求并解析NEW_ENV時(shí)使用了未初始化的變量,遠(yuǎn)程攻擊者可以利用該漏最多讀取1800字節(jié)的影響控制TELNET服務(wù)器。 受影響的產(chǎn)品及版本包括:Arch Linux:所有版本
CVE-2021-22924:Arch Linux是Arch開源的一個(gè)應(yīng)用系統(tǒng)。一個(gè)輕量級(jí)且靈活的Linux®發(fā)行版,試圖使它保持簡(jiǎn)單。
Arch Linux中存在信任管理問題漏洞,該漏洞源于產(chǎn)品的配置匹配函數(shù)不能正確處理 issuer cert 并且比較路徑時(shí)邏輯錯(cuò)誤。攻擊者可通過該漏洞訪問系統(tǒng)的敏感信息。 以下產(chǎn)品及版本受到影響:libcurl-gnutls 7.78.0-1 之前版本。
CVE-2021-22923:Arch Linux是Arch開源的一個(gè)應(yīng)用系統(tǒng)。一個(gè)輕量級(jí)且靈活的Linux®發(fā)行版,試圖使它保持簡(jiǎn)單。
Arch Linux中存在信任管理問題漏洞,該漏洞源于該產(chǎn)品未能充分保護(hù)憑證。遠(yuǎn)程攻擊者可利用該漏洞可以訪問目標(biāo)系統(tǒng)上的敏感信息。以下產(chǎn)品及版本受到影響:Arch Linux CURL 7.78.0-1 之前版本。
CVE-2021-22922:Arch Linux是Arch開源的一個(gè)應(yīng)用系統(tǒng)。一個(gè)輕量級(jí)且靈活的Linux®發(fā)行版,試圖使它保持簡(jiǎn)單。
Arch Linux中存在代碼問題漏洞,該漏洞源于未能充分驗(yàn)證用戶輸入的XML數(shù)據(jù),攻擊者可通過該漏洞向受影響的應(yīng)用程序傳遞專門編寫的XML代碼,并查看系統(tǒng)上任意文件的內(nèi)容,或向外部系統(tǒng)發(fā)起請(qǐng)求。以下產(chǎn)品及版本受到影響: Arch Linux Curl 7.78.0-1 之前版本。
CVE-2021-22898:HAXX libcurl是瑞典Haxx(HAXX)公司的一款開源的客戶端URL傳輸庫。該產(chǎn)品支持FTP、SFTP、TFTP和HTTP等協(xié)議。
curl存在安全漏洞,該漏洞源于libcurl可以將未初始化的數(shù)據(jù)從基于堆棧的緩沖區(qū)傳遞到服務(wù)器導(dǎo)致使用明文網(wǎng)絡(luò)協(xié)議將敏感的內(nèi)部信息泄露給服務(wù)。
CVE-2021-22925:目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://security.archlinux.org/advisory/ASA-202107-63
CVE-2021-22924:目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,詳情請(qǐng)關(guān)注廠商主頁: https://security.archlinux.org/advisory/ASA-202107-63
CVE-2021-22923, CVE-2021-22922:目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,詳情請(qǐng)關(guān)注廠商主頁: https://security.archlinux.org/advisory/ASA-202107-59
CVE-2021-22898:目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://curl.se/docs/CVE-2021-22898.html CNNVD-202107-1582,CNNVD-202107-1569,CNNVD-202107-1568,CNNVD-202107-1567,CNNVD-202105-1685, 0
【增加插件詳情】
1、本次月度升級(jí)包主要新增為漏掃插件,數(shù)量為632條
【影響范圍】
1、該升級(jí)包能在發(fā)布的任何版本上升級(jí)
2、升級(jí)成功后基礎(chǔ)庫不變,漏洞庫升級(jí)后:Vul.2021.08.13.003754,基線庫升級(jí)后:Scb.2021.08.13.003754
3、升級(jí)結(jié)束后,機(jī)器不會(huì)重啟