根据国家信息安全漏洞库(CNNVD)统计,本周(2023.03.06~2023.03.12)CNNVD 接报漏洞274个,其中信息技术产品漏洞(通用型漏洞)155个,网络信息系统漏洞(事件型漏洞)119个,CNNVD 接报漏洞预警122份。其中华云安报送预警14份!预警报送数量均持续位居前列!
本周重点关注漏洞包括:CVE-2023-25690 Apache HTTP Server 请求走私漏洞、CVE-2023-23638 Apache Dubbo 反序列化漏洞、CVE-2023-27898 Jenkins跨站脚本漏洞、CVE-2023-26464 Apache Log4j 拒绝服务漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01
CVE-2023-25690 Apache HTTP Server 请求走私漏洞
威胁等级:超危
漏洞描述:
2023年03月07日,华云安思境安全团队监测发现 Apache 官网发布了安全更新,披露了 Apache HTTP Server 2.4.0版本至2.4.55版本存在环境问题漏洞,该漏洞源于某些 mod_proxy 配置允许 HTTP 请求走私攻击。Apache HTTP Server 是 Apache 的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,该服务器具有快速、可靠且可通过简单的 API 进行扩充的特点。未经身份验证的攻击者可通过构造恶意 HTTP 请求包绕过代理服务器中的访问控制,将非预期的 URL 代理到现有源服务器,从而导致缓存中毒。
情报来源:
https://httpd.apache.org/security/vulnerabilities_24.html
02
CVE-2023-23638 Apache Dubbo 反序列化漏洞
威胁等级:超危
漏洞描述:
2023年03月08日,华云安思境安全团队监测发现 Apache 官网发布了安全更新,披露了 Apache Dubbo 2.7.21版本及之前的2.7.x 版本、3.0.13版本及之前的3.0.x版本、3.1.5版本及之前的3.1.x 版本存在代码问题漏洞。Apache Dubbo 是一款 RPC 服务开发框架,用于解决微服务架构下的服务治理与通信问题,产品提供了基于接口的远程呼叫、负载平衡、容错以及自动服务注册和发现等功能。未经身份验证的攻击者利用该漏洞构造恶意数据包进行反序列化攻击,可能导致在目标系统上执行任意代码。
情报来源:
https://lists.apache.org/thread/8h6zscfzj482z512d2v5ft63hdhzm0cb
03
CVE-2023-27898 Jenkins 跨站脚本漏洞
威胁等级:高危
漏洞描述:
2023年03月09日,华云安思境安全团队监测发现 Jenkins 官网发布了安全更新,披露了 Jenkins 2.270版本至2.393版本存在跨站脚本漏洞。Jenkins 是一款开源的应用软件,提供了数百个插件,用于自动化构建、测试和部署各种项目。未经身份验证的攻击者可利用该漏洞在目标系统上执行跨站脚本攻击。
情报来源:
https://www.jenkins.io/security/advisory/2023-03-08/#SECURITY-3037
04
CVE-2023-26464 Apache Log4j 拒绝服务漏洞
威胁等级:高危
漏洞描述:
2022年03月10日,华云安思境安全团队监测发现 Apache 官网发布了安全更新,披露了 Apache Log4j 1.x 版本存在拒绝服务漏洞 。Apache Log4j 1.x 是一款采用 java 开发的日志框架,一款基于 Java 的开源日志记录工具。未经身份验证的攻击者可构造一个含有多次嵌套的 hashmap 或 hashtable 的日志条目到日志中,致使日志组件在反序列化该对象时耗尽虚拟机内存,在反序列化对象时导致拒绝服务。
情报来源:
https://lists.apache.org/thread/wkx6grrcjkh86crr49p4blc1v1nflj3t
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
进入“华云安漏洞情报平台”查阅详情