安全漏洞周报（2024.03.04-2024.03.11）

漏洞速览

■ JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)

■ Internet快捷方式文件安全特性绕过漏洞(CVE-2024-21412)

漏洞详情

1.JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)

影响组件： JetBrains TeamCity是一款由JetBrains开发的持续集成和持续交付（CI/CD）服务器。它提供了一个功能强大的平台，用于自动化构建、测试和部署软件项目。TeamCity旨在简化团队协作和软件交付流程，提高开发团队的效率和产品质量。 漏洞危害： 未经身份验证的远程攻击者利用CVE-2024-27198可以 绕过系统身份验证，完全控制所有TeamCity项目、构建、代理和构件，为攻击者执行供应链攻击。 影响范围： &nbsp;&nbsp;&nbsp;&nbsp;目前受影响的Apache OFBiz版本： &nbsp;&nbsp;&nbsp;&nbsp;TeamCity < 2023.11.4 修复方案： &nbsp;&nbsp;&nbsp;&nbsp;目前官方已有可更新版本，建议受影响用户升级至： &nbsp;&nbsp;&nbsp;&nbsp;TeamCity >= 2023.11.4 &nbsp;&nbsp;&nbsp;&nbsp;参考： &nbsp;&nbsp;&nbsp;&nbsp;https://blog.jetbrains.com/teamcity/2024/03/teamcity-2023-11-4-is-out/

2.&nbsp;Internet快捷方式文件安全特性绕过漏洞(CVE-2024-21412)

影响组件： Internet 快捷方式对象用于创建 Internet 网站的桌面快捷方式。与文件系统中项的快捷方式一样，Internet 快捷方式采用桌面图标的形式。当用户单击图标时，浏览器将启动并显示与快捷方式关联的网站。 漏洞危害： 未经身份认证的远程攻击者通过该漏洞制作恶意文件并发送给受害者，诱导受害者打开后将触发该漏洞，绕过安全检查并执行恶意代码。 影响范围：

&nbsp;&nbsp;&nbsp;&nbsp;Windows Server 2019 (Server Core installation)

&nbsp;&nbsp;&nbsp;&nbsp; Windows 10 Version 21H2 for ARM64-based Systems&nbsp;&nbsp;&nbsp;&nbsp; Windows 10 Version 21H2 for 32-bit Systems&nbsp;&nbsp;&nbsp;&nbsp; Windows 10 Version 1809 for ARM64-based Systems&nbsp;&nbsp;&nbsp;&nbsp; Windows 11 version 21H2 for ARM64-based Systems&nbsp;&nbsp;&nbsp;&nbsp; Windows 10 Version 1809 for 32-bit Systems&nbsp;&nbsp;&nbsp;&nbsp; Windows 10 Version 1809 for x64-based Systems&nbsp;&nbsp;&nbsp;&nbsp; Windows Server 2022, 23H2 Edition (Server Core installation)&nbsp;&nbsp;&nbsp;&nbsp; Windows 11 Version 23H2 for x64-based Systems&nbsp;&nbsp;&nbsp;&nbsp; Windows Server 2022&nbsp;&nbsp;&nbsp;&nbsp; Windows 11 version 21H2 for x64-based Systems&nbsp;&nbsp;&nbsp;&nbsp; Windows 11 Version 23H2 for ARM64-based Systems&nbsp;&nbsp;&nbsp;&nbsp; Windows 10 Version 22H2 for 32-bit Systems&nbsp;&nbsp;&nbsp;&nbsp; Windows 10 Version 22H2 for ARM64-based Systems&nbsp;&nbsp;&nbsp;&nbsp; Windows Server 2019&nbsp;&nbsp;&nbsp;&nbsp; Windows 10 Version 22H2 for x64-based Systems&nbsp;&nbsp;&nbsp;&nbsp; Windows 11 Version 22H2 for x64-based Systems&nbsp;&nbsp;&nbsp;&nbsp; Windows 11 Version 22H2 for ARM64-based Systems&nbsp;&nbsp;&nbsp;&nbsp; Windows Server 2022 (Server Core installation)&nbsp;&nbsp;&nbsp;&nbsp; Windows 10 Version 21H2 for x64-based Systems

修复方案： &nbsp; &nbsp; 可使用微软自带更新进行自动更新修复， &nbsp;&nbsp;&nbsp;&nbsp;对于不能自动更新的系统版本，可参考以下链接下载适用于该系统的安全更新: &nbsp;&nbsp;&nbsp;&nbsp;https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21412
以上内容均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，易安联以及文章作者不承担任何责任。

易安联玄影实验室

易安联玄影实验室（原高级攻防实验室），是易安联为落实公司发展战略，促进网络空间安全生态建设，孵化下一代安全能力，进行高级别的攻防对抗研究而组建的专业性安全实验室。推出的威胁情报和天织DNS威胁分析平台，可以为用户提供高效的威胁防护能力，帮助用户更好地应对各类网络威胁。

关于易安联&nbsp;

江苏易安联网络技术有限公司（www.enlink.top，简称易安联）是专业从事网络信息安全产品研发与销售的高新技术企业，是国内领先的“零信任”产品及解决方案提供商，公司总部位于南京，在北京、深圳、安徽、山东、杭州、西安等地设立分支机构，公司致力于成为国内零信任安全行业领导者！

易安联专注零信任安全，先后发布EnSDP（零信任安界防护平台）、EnBox（零信任安全工作空间）、EnCASB（零信任云应用安全接入平台）、EnAppGate（统一资源发布系统）、EnIAM（零信任身份管理平台）、EnDTA(天织·DTA威胁分析系统)等多款产品及解决方案，推出ZTNA零信任网络架构解决方案和EnSASE安全访问服务边缘解决方案并提供包括安全运维、实战攻防、应急演练等安全服务。公司目前客户已超800家，涵盖教育、金融、电力、互联网、运营商等行业。

https://mp.weixin.qq.com/s/PHAfyXQ1z1PYShACWMVZqA