在本周的文摘中,我们将讨论。
- aGrafana 安全发布;
- VLC中的整数溢出;以及
- 一个Snapd竞赛条件漏洞。
Grafana 安全发布
特权升级:未经授权访问任意端点
CVE-2022-39328是Grafana 代码库中的一个竞赛条件,它允许未经认证的用户在Grafana 中查询一个任意的端点。HTTP上下文创建中的一个竞赛条件可能导致一个HTTP请求被分配给另一个调用的认证/授权中间件。在重载情况下,有可能一个受特权中间件保护的调用会收到一个公共查询的中间件。因此,一个未经认证的用户可以成功地查询受保护的端点,并有恶意的意图。
Grafana 版本>=9.2.x的所有安装都受到影响。为了完全解决CVE-2022-39328,Grafana 建议升级你的实例。
特权升级:用户名/电子邮件地址不可信
Grafana 管理员可以邀请其他成员加入他们作为管理员的组织。当管理员向组织添加成员时,不存在的用户会得到一个电子邮件邀请,而现有的成员则直接添加到组织中。当邀请链接被发送时,它允许任何能够访问该链接的人用用户选择的任何用户名/电子邮件地址注册并成为该组织的成员。CVE-2022-39306的CVSS得分是6.4中度。
All installations for Grafana versions <=9.x, <8.x are impacted. To fully address CVE-2022-39306, Grafana recommends upgrading your instances.
用户名枚举
当在登录页面使用忘记密码时,会向/api/user/password/sent-reset-email URL发出POST请求。当用户名或电子邮件不存在时,一个JSON响应包含一个 "未找到用户 "的消息,这可以被未经认证的用户利用来披露受影响端点的信息。
The CVSS score for CVE-2022-39307 is 5.3 Moderate. All installations for Grafana versions <=9.x, <8.x are impacted. To fully address this vulnerability, Grafana recommends upgrading your instances.
VLC中的整数溢出
VLC媒体播放器(以前是VideoLAN客户端,通常简称为VLC)是VideoLAN项目开发的一个免费和开源、可移植、跨平台的媒体播放器软件和流媒体服务器。CVE-2022-41325存在于VNC模块中。VLC可以通过使用其URI来显示VNC视频流:vlc vnc://ip_address_of_server:port/。
如果攻击者控制了一个VNC服务器,他们可以欺骗VLC分配一个比预期短的内存缓冲区。然后,攻击者就有了一个强大的相对的 "写什么-到哪里 "的原语。他们可以使VLC崩溃,或在某些条件下执行任意代码。虽然VNC支持是通过第三方库(LibVNCClient)提供的,但受影响的代码是在VLC本身。
3.0.17.4及以前的版本受到影响。VLC团队已经修复了该漏洞,并在此提交。
骁勇的竞赛条件漏洞
snap-confine程序由snapd内部使用,用于构建snap应用程序的执行环境,这些应用程序是容器化的软件包。CVE-2022-3328描述了 snap-confine 中must_mkdir_and_open_with_perms()函数的一个竞赛条件漏洞,该函数在Ubuntu 上默认作为 SUID-root 程序安装。这是作为CVE-2021-44731修复的一部分而引入的。
拥有正常用户权限的攻击者可以利用多路径权限提升漏洞(CVE-2022-41974)和多路径符号链接漏洞,将/tmp目录与文件系统中的任何目录绑定,并将普通用户权限提升为ROOT权限。
受影响的snapd版本为2.54.3 - 2.57.6。目前,官方的安全版本已经发布,以修复这个漏洞。建议受影响的用户升级到较新的版本。
注释