近日,梆梆安全专家整理发布1月安全漏洞报告,主要涉及以下产品/组件:Lenovo ThinkPad BIOS、pyLoad、Junos OS、Apache Shiro 、Oracle Weblogic Server、Zoho ManageEngine、Lexmark、VMware vRealize Log Insight、QNAP QTS/QuTS hero,建议相关用户及时采取措施做好资产自查与预防工作。
组件介绍
联想集团是一家成立于中国、业务遍及180个市场的全球化科技公司。联想聚焦全球化发展,持续开发创新技术,致力于建设一个更加包容、值得信赖和可持续发展的数字化社会,引领和赋能智能化新时代的转型变革,为全球数以亿计的消费者打造更好的体验和机遇。
漏洞描述
2022年1月3日,Lenovo(联想)发布安全更新,修复了ThinkPad X13s BIOS中的多个安全漏洞,本地用户可利用这些漏洞导致内存损坏或敏感信息泄露。
本次ThinkPad X13s BIOS更新中共修复了如下漏洞:
影响范围
目前受影响的 ThinkPad 版本:
ThinkPad X13s BIOS 版本 < 1.47 (N3HET75W)
官方修复建议
目前这些漏洞已经修复,Lenovo ThinkPad X13s用户可将BIOS更新到1.47 (N3HET75W)版本。
下载链接如下:
https://pcsupport.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-x-series-laptops/thinkpad-x13s-type-21bx-21by/downloads/ds556845-bios-update-utility-bootable-cd-for-windows-11-thinkpad-x13s-gen-1-type-21bx-21by?category=BIOS%2FUEFI
注:CVE-2022-40516 - CVE-2022-40520也影响了联想 ThinkPad X13s 笔记本电脑,这些漏洞也在BIOS版本 1.47 (N3HET75W)中修复。
组件介绍
pyLoad 是一款免费和开源下载管理器,用 Python 编写,旨在通过 Web 实现极其轻量级,易于扩展和完全可管理的下载器。
漏洞描述
2023年1月1日,pyLoad 代码注入漏洞给的 payload 在互联网上公开,漏洞编号为 CVE-2023-0297,CVSS评分为9.8,漏洞危害等级为严重。
未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码。
影响范围
目前受影响的 pyLoad 版本:
正式版:pyLoad <= 0.4.20
开发板:pyLoad <= 0.5.0b3.dev31
官方修复建议
目前该漏洞已经在最新开发版本中修复,受影响用户可通过下载github发布的master分支构建程序。下载链接如下:
https://github.com/pyLoad/pyLoad
组件介绍
Juniper Networks(瞻博网络)是全球领先的网络和安全解决方案提供商,其客户包括全球范围内的网络运营商、企业、政府机构以及研究和教育机构等。
漏洞描述
2023年1月11日,Juniper Networks 发布安全公告,修复了 Junos OS 中的一个拒绝服务漏洞,漏洞编号:CVE-2023-22396,漏洞危害等级:高危。
该漏洞源于 Juniper Networks Junos OS 的路由引擎 (RE) 上的 TCP 处理中存在不受控制的资源消耗漏洞,攻击者利用该漏洞可以在未经身份验证的情况下向受影响设备发送恶意制作的TCP 数据包,导致 MBUF泄漏,并最终造成拒绝服务。
影响范围
目前受影响的 Juniper Networks Junos OS 版本:
12.3R12-S19<=Juniper Networks Junos OS<12.4
15.1R7-S10<=Juniper Networks Junos OS<15.2
17.3R3-S12<=Juniper Networks Junos OS<17.4
18.4R3-S9<=Juniper Networks Junos OS<18.5
19.1R3-S7<=Juniper Networks Junos OS<19.2
19.2R3-S3<=Juniper Networks Junos OS<19.3
19.3R2-S7<=Juniper Networks Junos OS<19.3R3-S7
19.3R3-S3<=Juniper Networks Junos OS<19.3R3-S7
19.4R2-S7<=Juniper Networks Junos OS<19.4R3-S10
19.4R3-S5<=Juniper Networks Junos OS<19.4R3-S10
20.1R3-S1<=Juniper Networks Junos OS<20.2
20.2<=Juniper Networks Junos OS<20.2R3-S2
20.2<=Juniper Networks Junos OS<20.2R3-S2
20.3<=Juniper Networks Junos OS<20.3R3-S1
20.3<=Juniper Networks Junos OS<20.3R3-S1
20.4R2-S2<=Juniper Networks Junos OS<20.4R3-S5
20.4R3<=Juniper Networks Junos OS<20.4R3-S5
21.1<=Juniper Networks Junos OS<21.1R2
21.1<=Juniper Networks Junos OS<21.1R3-S4
21.2R1-S1<=Juniper Networks Junos OS<21.2R3-S3
21.2R2<=Juniper Networks Junos OS<21.2R3-S3
21.3<=Juniper Networks Junos OS<21.3R3-S2
21.4<=Juniper Networks Junos OS<21.4R3
22.1<=Juniper Networks Junos OS<22.1R2-S1
22.1<=Juniper Networks Junos OS<22.1R3
22.2<=Juniper Networks Junos OS<22.2R1-S2
22.2<=Juniper Networks Junos OS<22.2R2
22.3<=Juniper Networks Junos OS<22.3R1-S1
22.3<=Juniper Networks Junos OS<22.3R2
官方修复建议
目前该漏洞已经修复,受影响用户可及时升级到之后发布的更高版本。下载链接如下:
https://support.juniper.net/support/downloads/
组件介绍
Apache Shiro™ 是一个功能强大且易于使用的 Java 安全框架,可执行身份验证、授权、加密和会话管理。
漏洞描述
2023年1月14日,Apache Shiro 官方发布漏洞通告,修复了 Apache Shiro 身份认证绕过漏洞,漏洞编号:CVE-2023-22602,漏洞威胁等级:高危。
该漏洞源于 Shiro 和 SpringBoot < 2.6 都默认为 Ant 样式模式匹配,当 Shiro 和 Spring Boot 使用不同的路径匹配技术时,会发生身份验证绕过。当1.11.0 之前的 Apache Shiro 与 Spring Boot 2.6+ 一起使用时,攻击者使用特制的 HTTP 请求可能导致绕过身份验证。
影响范围
目前受影响的版本:
Apache Shiro < 1.11.0 、 Spring Boot > 2.6 同时使用
官方修复建议
目前该漏洞已经修复,建议受影响的用户及时升级到 Apache Shiro 1.11.0 版本,下载地址:https://shiro.apache.org/download.html
或在Spring Boot 配置文件中使用如下配置:
spring.mvc.pathmatch.matching-strategy = ant_path_matcher
组件介绍
WebLogic 是美国 Oracle 公司出品的一个 application server,确切的说是一个基于 JAVAEE 架构的中间件,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。
漏洞描述
Oracle 官方在 1 月 18 日发布了重要补丁更新 CPU (Critical Patch Update),修复了存在于 Oracle WebLogic Server 中的多个高危漏洞。
此次补丁修复的漏洞中,Oracle Weblogic Server 远程代码执行漏洞(CVE-2023-21839 )为 WebLogic Server T3 / IIOP 协议中的高危漏洞,攻击者可在远程且未经授权的状态下通过 T3 或者 IIOP 协议交互利用此漏洞进行 JNDI 注入利用攻击,从而可在服务端执行任意恶意代码,获取系统权限。
影响范围
目前受影响的 Oracle Weblogic Server 版本:
Oracle Weblogic Server 12.2.1.3.0
Oracle Weblogic Server 12.2.1.4.0
Oracle Weblogic Server 14.1.1.0.0
官方修复建议
目前该漏洞已经修复,受影响用户可及时升级到相应修复版本。下载链接如下:
https://www.oracle.com/security-alerts/cpujan2023.html
组件介绍
ManageEngine 是卓豪(ZOHO Corporation)旗下的 IT 管理解决方案,可以借助 ManageEngine 工具管理网络基础设施、数据中心、业务系统、IT 服务及安全等。
漏洞描述
近日,存在 Zoho ManageEngine多个产品的远程代码执行漏洞的POC/EXP消息在网络中传播,漏洞编号:CVE-2022-47966,漏洞危害等级:严重,ZOHO 官方已于2022年10月修复此漏洞。
该漏洞源于 ManageEngine 多个产品中由于使用过时且易受攻击的第三方依赖项 Apache Santuario,如果启用或曾经启用 SAML SSO,则攻击者可利用该漏洞在未经身份验证的情况下远程执行任意代码。
影响范围
目前受影响的版本:
ZOHO Application Control Plus<=10.1.2220.17
ZOHO Asset Explorer<=6982
ZOHO Endpoint Central<=10.1.2228.10
ZOHO Key Manager Plus<=6400
ZOHO Browser Security Plus<=11.1.2238.5
Zoho ManageEngine ADManager Plus<=7161
ZOHO ManageEngine ADSelfService Plus<=6210
Zoho ManageEngine ServiceDesk Plus<=14003
11025>=Zoho ManageEngine SupportCenter Plus>=11017
ManageEngine ServiceDesk Plus MSP<=13000
ZOHO Active Directory 360<=4309
ZOHO Analytics Plus<=5140
ZOHO Device Control Plus<=10.1.2220.17
ZOHO Vulnerability Manager Plus<=10.1.2220.17
Zoho ManageEngine Remote Access Plus<=10.1.2228.10
Zoho ManageEngine Password Manager Pro<=12123
Access Manager Plus<=4307
ZOHO ADAudit Plus 全版本
ZOHO Endpoint Central MSP<=10.1.2228.10
ZOHO Endpoint DLP<=10.1.2137.5
ZOHO PAM 360<=5712
ZOHO OS Deployer<=1.1.2243.0
ZOHO Patch Manager Plus<=10.1.2220.17
ZOHO Remote Monitoring and Management<=10.1.40
官方修复建议
目前该漏洞已经修复,受影响用户可及时升级到相应修复版本。下载链接如下:
https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
组件介绍
XStream 是一个 Java 对象和 XML 相互转换的工具,可以将 Java 对象序列化成 XML (JSON)或将 XML 反序列化为对象。
漏洞描述
2023年01月30日,Lexmark 官方发布了 Lexmark 打印机的风险通告,漏洞编号:CVE-2023-23560,漏洞等级:高危,漏洞评分:9.0。
该漏洞是由 Web 服务功能中的输入验证不当引起的。远程攻击者可利用此漏洞进行 SSRF 攻击,进而在系统上执行任意代码。
影响范围
目前受影响的版本:
官方修复建议
目前官方已发布补丁,受影响用户可根据影响版本中的信息,排查并升级到安全版本。下载链接如下:
https://support.lexmark.com/en_us.html
组件介绍
威睿(英语:VMware, Inc.)是美国一家提供云计算和硬件虚拟化的软件和服务的公司。
vRealize Log Insight 可以为任何环境中的基础架构和应用程序提供智能日志管理。这种可高度扩展的日志管理解决方案在物理、虚拟和云环境中提供了直观的可操作仪表板、精细的分析以及广泛的第三方可扩展性。
漏洞描述
2023年01月30日,VMware官方发布了VMware vRealize Log Insight 多个安全漏洞风险通告,漏洞编号分别为 CVE-2022-31706,CVE-2022-31704,CVE-2022-31710,CVE-2022-31711,漏洞等级:高危。
影响范围
目前受影响的 VMware 版本:
8.0 <= VMware vRealize Log Insight < 8.10.2
VMware Cloud Foundation 3.x
VMware Cloud Foundation 4.x
官方修复建议
建议用户根据影响版本信息,排查并升级到安全版本:
1. VMware vRealize Log Insight
下载链接如下:
https://docs.vmware.com/en/vRealize-Log-Insight/8.10.2/rn/vrealize-log-insight-8102-release-notes/index.html
2. VMware Cloud Foundation (VMware vRealize Log Insight)
下载链接:https://kb.vmware.com/s/article/90668
组件介绍
威联通科技(QNAP),简称威联通,是中国台湾的跨国科技公司,产品包括网路附加储存、视讯监控录影系统、网路交换器、无线路由器、无线/有线网路卡和视讯会议系统等。其亦为 ODM 制造商。
漏洞描述
2023年01月31日,QNAP官方发布了QTS 和 QuTS hero的SQL 注入漏洞风险通告,漏洞编号为CVE-2022-27596,漏洞等级:高危,漏洞评分:9.8。
QuTS hero QTS 的 QNAP 设备中存在一个SQL注入漏洞,远程攻击者可利用该漏洞,在无需用户交互或特殊权限的情况下,向目标服务器注入恶意代码。
影响范围
目前受影响的版本:
QTS = 5.0.1
QuTS hero = h5.0.1
官方修复建议
官方目前已对漏洞进行修复,建议受影响用户参照上表根据影响版本中的信息,排查并升级到安全版本。
更新 QTS 或 QuTS hero :
1. 以管理员身份登录 QTS 或 QuTS hero。
2. 转到 控制面板 > 系统 > 固件更新。
3. 在 实时更新下,单击 检查更新。
4. QTS 或 QuTS hero 下载并安装最新的可用更新。
提示:您也可以从 QNAP 网站下载更新。转到 支持 > 下载中心 ,然后为您的特定设备执行手动更新。
