本周我们将讨论Mozilla网络安全服务中的一个关键漏洞,最新的Netgear安全公告,Vim文本编辑器中的一个漏洞,以及一个相当新的工具,你可以用来审计你的Python 包。
Mozilla NSS RCE (CVE-2021-43527)
Mozilla的 NSS(网络安全服务)是一套库,旨在支持跨平台开发具有安全功能的客户端和服务器应用程序。它为许多互联网安全标准提供了全面的开源实现,并被用于Mozilla的一些产品中。
12月1日,RedHat发布了一份声明,警告该软件包的用户,它存在一个远程代码执行的漏洞。根据该声明,它对受影响的系统有严重的影响(CVSS:8.8),目前对这个漏洞没有实用的缓解方法。RedHat建议尽快更新受影响的软件包。
从家庭到办公室的威胁面
Netgear最近发布了一份安全公告,称他们知道有两个安全漏洞影响到他们的一些产品,包括路由器、调制解调器、WiFi网状系统和WiFi扩展器。其中一个漏洞允许认证后命令注入,导致敏感信息泄露。Netgear强烈建议他们的客户尽快更新受影响设备的固件。
随着许多员工远程工作并连接到他们雇主的基础设施,确保促进员工设备和公司网络之间的通信的组件是可靠和安全的至关重要。破坏这个链条中的一个薄弱环节,可能会让攻击者否定公司保护其系统的努力。攻击者可以利用员工拥有的网络设备的漏洞,最终导致服务中断,数据丢失,甚至安全漏洞。
Vim编辑器的缓冲区溢出 (CVE-2021-4019)
正如Fedora的更新所描述的那样,Vim(VIsual editor iMproved)是Vi编辑器的更新和改进版本。Vim是一个经常使用的工具,它被捆绑在大多数Linux发行版中。最近发现8.2.3669之前的Vim版本容易受到缓冲区溢出漏洞的影响。当被利用时,该漏洞可能导致软件崩溃、内存修改或任意代码执行。
管道审计
Pip(pip installs packages)是Python 编程语言的软件包安装程序。你可以使用pip来安装来自Python Package Index(PyPI)和其他索引的软件包。另一方面,Pip-audit是一个新开发的工具,用于扫描Python 环境中的已知漏洞的软件包。我们觉得pip-audit是一个很好的工具,我们的客户可以用它来跟踪他们开发环境中使用的软件包,并在这些软件包被发现时不断地审计它们的漏洞。
我们一直期待着与我们的客户和Linux爱好者分享我们的知识。如果你有任何建议、反馈或你想与社区分享的知识,请随时在下面留下评论。
注释