本周,我们将介绍新发现的OpenJDK漏洞,Redis中的堆溢出漏洞,以及Drupal核心中的任意PHP代码执行。
OpenJDK的漏洞
OpenJDK上周发布了一个安全公告,其中包含四个漏洞。
CVE-2022-21541是热点/运行时组件中一个难以利用的漏洞,允许通过多种协议访问网络的未经认证的攻击者破坏Java,这可能导致对关键数据或所有openjdk可访问数据的未经授权的创建、删除或修改访问。
CVE-2022-21540存在于 热点/编译器组件中,是一个容易被利用的缺陷,允许未经认证的攻击者通过多种协议进行网络访问,导致对openjdk可访问数据子集的未授权读取访问。这个漏洞对数据的保密性影响很小。
core-libs/java.util组件中的CVE-2022-21549可能导致对openjdk一些可访问数据的未经授权的更新、插入或删除访问。
注意:所有这三个漏洞都适用于Java部署--通常是在运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序的客户端--加载和运行不受信任的代码(例如,来自互联网的代码),并依赖Java沙盒的安全性。这些漏洞也可以通过使用指定组件中的API而被利用,例如,通过向API提供数据的网络服务。
CVE-2022-34169是 Apache Xalan Java XSLT库的一个整数截断问题。这可以被用来破坏内部XSLTC编译器生成的Java类文件,并执行任意的Java字节码。
Redis中的堆溢出
Redis经常被称为数据结构服务器。这意味着Redis通过一组命令提供对可变数据结构的访问,这些命令使用TCP套接字和一个简单协议的服务器-客户模型发送。因此,不同的进程可以以一种共享的方式查询和修改相同的数据结构。
有一个堆溢出条件,可以通过特制的 "XAUTOCLAIM "的越界写入来触发。 XAUTOCLAIM命令触发越界写入,并可能导致远程代码执行。CVE-2022-31144影响Redis的7.0.0或更新版本。该问题已在Redis 7.0.4版本中修复。
Drupal核心 - 任意的PHP代码执行漏洞
Drupal已经发布了四个建议,描述了四种类型的漏洞。其中一个被评为 "关键",其他三个被评为 "中度关键"。这个 "关键 "漏洞被追踪为 CVE-2022-25277,影响到Drupal 9.3和9.4。该问题影响到Drupal核心,它可以通过上传特制的文件导致在Apache 网站服务器上任意执行PHP代码。
根据Drupal的说法,剩下的三个是中等程度的关键。
CVE-2022-25276可能导致跨站脚本、泄露的cookies或其他漏洞,因为媒体oEmbed iframe路由没有正确验证iframe域设置,这允许嵌入在主域的背景下显示。
在某些情况下,Drupal 核心表单 API 会错误地评估表单元素访问。CVE-2022-25278可能会导致用户更改本不应该访问的数据。
CVE-2022-25275是在某些情况下产生的,当使用图像样式系统生成衍生图像时,图像模块没有正确检查对不存储在标准公共文件目录下的图像文件的访问。
升级到Drupal9.4.3或 9.3.19来应用这些漏洞的补丁。注意:9.3.x之前的所有Drupal 9版本都已过期,没有得到安全保障,Drupal 8也已过期。Drupal 7核心不受影响。
评论 (1)
Security Digest i was finding thanks for value