03/22~03/28 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
apache ofbiz 1 Apache OFBiz 17.12.06
(含)之前版本存在反序列化的安全性弱點。未經身份驗證的攻擊者可以藉由該弱點成功取得 Apache OFBiz 系統權限。
CVE-2021-26295

apache spamassassin 1 Apache SpamAssassin 3.4.5 (含)之前版本存在弱點。該弱點可將惡意規則組態檔(.cf)文件配置為系統常態命令,而不會產生任何系統輸出或例外錯誤。另外除了升級到 SA 3.4.5 版本外,用戶應僅使用受信任來源的更新或第三方(.cf)文件。 CVE-2020-1946

gnu libmicrohttpd 1 GNU 產品 libmicrohttpd 0.9.71 (含)之前版本存在弱點。其中post_process_urlencoded 函數中缺少邊界檢查會導致緩衝區溢出,遠端攻擊者可藉由該弱點在 libmicrohttpd
的程式碼中寫入任意資訊。
CVE-2021-3466

invigo automatic_device_management 1 Invigo 產品 Automatic Device Management (ADM) 5.0(含)之前版本的 (/admin/admapi.php) 腳本存在弱點。該弱點允許遠端身份驗證的攻擊者以程式執行的用戶身份在伺服器上執行任意OS 指令。 CVE-2020-10583

invigo automatic_device_management 1 Invigo 產品 Automatic Device Management (ADM) 5.0(含)之前版本的 (/admin/display_errors.php) 腳本存在 SQL 注入弱點。遠端攻擊者可以在資料庫上執行任意 SQL請求(包括資料存取和修改)。 CVE-2020-10582

linux linux_kernel 1 Linux 核心系統 (5.11.8 (含)之前版本) 中的(drivers/pci/hotplug/rpadlpar_sysfs.c) 驅動檔存在弱點。當從用戶空間向驅動程序寫入新設備名稱時,RPA PCI
熱插拔驅動程序具有用戶可容忍的緩衝區溢出,從而允許用戶空間將資料寫入驅動器(/pci/hotplug/rpadlpar_sysfs.c)。
CVE-2021-28972

mariadb mariadb 1 MariaDB 10.2 before 10.2.37, 10.3 before 10.3.28, 10.4 before 10.4.18, and 10.5 before 10.5.9 存在安全弱點,不受信任的搜索路徑會導致eval
injection。
CVE-2021-27928

markany maepsbroker 1 MaEPSBroker 2.5.0.31
存在輸入驗證錯誤弱點,該弱點源於解析brokerCommand參數時不正確的輸入驗證檢查導致 command injection 弱點。
CVE-2020-7839

microsoft visual_studio_code 1 MATLAB extension before 2.0.1 存在預設配置問題弱點,該弱點允許攻擊者可利用該弱點通過特製的工作區執行任意程式碼。 CVE-2021-28967

privoxy privoxy 1 在Privoxy 3.0.29之前的版本中發現了一個弱點。
該弱點源於沒有配置過濾器文件時顯示狀態CGI處理程序的暫存記憶體洩漏。
CVE-2021-20210

privoxy privoxy 1 在Privoxy 3.0.29之前的版本中發現了一個弱點。
該弱點源於響應被緩衝並且達到緩衝區限製或Privoxy耗盡暫存記憶體時的暫存記憶體洩漏問題。
CVE-2020-35502

privoxy privoxy 1 Privoxy 3.0.31之前的版本中發現了一個弱點。
該弱點源於解壓縮意外失敗時的暫存記憶體洩漏可能會導致阻斷服務。
CVE-2021-20216

privoxy privoxy 1 在Privoxy 3.0.29之前的版本中發現了一個弱點。
該弱點源於沒有配置過濾器文件時顯示狀態CGI處理程序的暫存記憶體洩漏。
CVE-2021-20215

privoxy privoxy 1 在Privoxy 3.0.29之前的版本中發現了一個弱點。
該弱點源於客戶端標記處於活動狀態時暫存記憶體洩漏。
CVE-2021-20211

privoxy privoxy 1 在Privoxy 3.0.29之前的版本中發現了一個弱點。 該弱點由於執行多個過濾器時暫存記憶體洩漏。 CVE-2021-20212

privoxy privoxy 1 在Privoxy 3.0.31之前的版本中發現了一個弱點。 攻擊者可利用該弱點發送CGI請求造成阻斷服務。 CVE-2021-20217

privoxy privoxy 1 在Privoxy 3.0.29之前的版本中發現了一個弱點。
該弱點源於錯誤地處理了客戶端標籤。攻擊者可能使用此問題導致Privoxy消耗資源,從而導致阻斷服務。
CVE-2021-20214

xstream_project xstream 1 XStream 是一個用於將對象序列化為XML並再次返回的 Java 函式庫,XStream 1.4.16 之前版本存在弱點。該弱點可能允許遠端攻擊者僅通過操縱處理後的輸入流量來執行任意程式碼,建議升級至 1.4.16 (含)之後版本。 CVE-2021-21350

xstream_project xstream 1 XStream 是一個用於將對象序列化為XML並再次返回的 Java 函式庫,XStream 1.4.16 之前版本存在弱點。該弱點可能允許遠端攻擊者僅通過操縱已處理的輸入流量來從遠端主機加載並執行任意程式碼,建議升級至 1.4.16 (含)之後版本。 CVE-2021-21347

xstream_project xstream 1 XStream 是一個用於將對象序列化為XML並再次返回的 Java 函式庫,XStream 1.4.16 之前版本存在弱點。該弱點可能允許遠端攻擊者僅通過操縱已處理的輸入流量來從遠端主機加載並執行任意程式碼,建議升級至 1.4.16 (含)之後版本。 CVE-2021-21346

xstream_project xstream 1 XStream 是一個用於將對象序列化為XML並再次返回的 Java 函式庫,XStream 1.4.16 之前版本存在弱點。該弱點可能允許遠端攻擊者僅通過操縱已處理的輸入流量來從遠端主機加載並執行任意程式碼,建議升級至 1.4.16 (含)之後版本。 CVE-2021-21344

xstream_project xstream 1 XStream 是一個用於將對象序列化為XML並再次返回的 Java 函式庫,XStream 1.4.16 之前版本存在弱點。該弱點可能允許遠端攻擊者佔用佔用最大 CPU 時間並且永遠不會返回的 session 連線,建議升級至 1.4.16
(含)之後版本。
CVE-2021-21348

影響系統:
    • 受影響廠牌如下:
  • apache
  • gnu
  • invigo
  • linux
  • mariadb
  • markany
  • microsoft
  • privoxy
  • xstream
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-088 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb21-088 )
參考資訊: US-CERT