Open-Xchange 修复 OX App Suite 中的RCE等漏洞

最新推荐文章于 2024-05-29 07:47:39 发布
最新推荐文章于 2024-05-29 07:47:39 发布
阅读量426 收藏
点赞数
文章标签: java 安全 git c++ github
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247513216&idx=3&sn=87aad592e36d5f812f1cf80caa982139&chksm=ea9485eadde30cfc99270d545611a0c07aed653f0bbd861bd6ba71ccd6cfdf1f9916240383d4&scene=126&&sessionid=0
版权

5856aebfaad22c892beb2e3937aca8c6.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

42b431d2103dc27b732df26e80be63a6.gif

多样化技术和基础设施软件提供商 Open-Xchange 发布了影响 OX App Suite 的多个漏洞的修复方案。

OX App Suite 是一款本地解决方案或是该组织机构云服务的组成部分,专为电信、web 托管企业和服务提供商设计的加密邮件和协作软件。

最新的补丁发布修复了位于该软件文档转换器组件中的两个远程代码执行漏洞CVE-2022-23100和CVE-2022-24405,CVSS 评分分别为8.2和7.3。该文档转换器 API 中也包含一个服务器端请求伪造漏洞 (CVE-2022-24406),可使攻击者预测 multipart-formdata 边界并覆写其内容。

106dfe7b78f62e914a12e693a070a022.png

预防性补丁

9a45a27953c595490bc7514d4263e8ad.png

另外,Open-Xchange 还修复了影响 OX App Suite 的两个跨站点脚本 (XSS) 漏洞CVE-2022-23099和CVE-2022-23101。攻击者需要强迫受害者点击恶意链接才能利用这些漏洞。去年12月爆出Log4Shell 漏洞后,OX App Suite 还包含了一个安全更新,解决了位于 Logback 组件中的一个类似的潜在漏洞 (CVE-2021-42550)。

Open-Xchange 发布安全公告指出,“在默认配置情况下,OX App Suite 并不受该漏洞影响,并不存在要求部署易受攻击配置的场景。我们提供这一更新是作为防御性措施,缓解漏洞的可能性。利用CVE-2021-42550要求具有提升后的权限来修改系统配置。”

d64c249da5f3bdd76c23db9f2b056a98.png

外部输入

6cd7957c5c3706d72129d9003b3ec3f8.png

当提到这些漏洞是否是通过该公司漏洞奖励计划发现时,Open-Xchange 公司的首席信息安全官 Martin Heiland指出,“对于这份安全公告来说,各占一半。我们将漏洞奖励计划中的输入作为内部研究的灵感来源。在本案例中,通过该漏洞奖励计划报告的看似‘中危’问题的完整影响,促使我们全面审查并发现了一个潜在的远程代码执行缺陷。”

Heiland 指出,“内部审计和外部输入使我们的计划影响力巨大,且有助于持续学习并挑战工程团队。我运行这一漏洞奖励计划已有六年的时间,它在web应用方面非常成功。”

这些漏洞影响 OX App Suite 版本7.10.6及更早版本。厂商已在不同的分支更新中修复。

Heiland 指出,“多数用户运行自动化部署,我们自身的托管服务使用‘云原生’自动化/协作,便于非常迅速的更新。当然,我们建议不管部署方法是什么,我们建议尽快进行更新。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

在线阅读版:《2022中国软件供应链安全分析报告》全文

奇安信发布《2022中国软件供应链安全分析报告》 谁会成为下一个Log4j2?

Node.js 修复多个漏洞,可导致RCE和HTTP请求走私

GitLab 修复严重的RCE漏洞

原文链接

https://portswigger.net/daily-swig/open-xchange-issues-fixes-for-rce-ssrf-bugs-in-ox-app-suite

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

ddf608122e6eb39b8da55b29b9887515.jpeg

74cde828c995b1ee9d5805c37f667af2.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   86f4eee7342d6a876e899638703be9ef.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
漏洞复现】金蝶云星空-AppDesigner-反序列化-rce
知黑而守白
01-25 423
金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。该漏洞是由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。
高危安全漏洞风险提示:Oracle7月修复Weblogic Server严重RCE漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-08 664
Oracle 解决的最严重问题之一是通过 Oracle WebLogic Server Web 服务的 XMLDecoder 存在的严重反序列化漏洞。该 CVE-2019 年至 2729 年的漏洞就是可通过未经认证的攻击者利用的远程执行代码漏洞。高危安全漏洞风险提示:Oracle7月修复Weblogic Server严重RCE漏洞. “此安全警报解决了 CVE-2019-2729,这是一个通过 Oracle WebLogic Server Web 服务的 XMLDecoder 实现的反序列化漏洞。该远
open-xchange
dengbenji的专栏
12-27 378
[b]initconfigdb-won-t-work[/b] https://forum.open-xchange.com/showthread.php?3331-initconfigdb-won-t-work http://oxpedia.org/wiki/index.php?title=Open-Xchange_Installation_Guide_for_openSUSE_11.0
Open-Xchange on FreeBSD HOWTO
软体疯子专栏
03-17 1718
This document was based on others GNU/Linux specific documentation and contains the parts which are different or need to be changed for installing OX in a FreeBSD environment.Specifically the follo
Open-XChange安装小记 : 进公司干的第二件事情
东坡突围
02-14 570
  Open-Xchange安装日志<o:p></o:p> <o:p> </o:p> Pre-install<o:p></o:p> <o:p> </o:p> 安装apt<o:p></o:p> <o:p>
在Ubuntu 9.04/9.10 桌面版上安装 Open-Xchange 社区开源免费版--2009.12.23--北京守望小方翻译+实际操作...
javasee
12-24 322
在Ubuntu 9.04/9.10 桌面版上安装 Open-Xchange 社区开源免费版 2009.12.23注意:1 本文以Ubuntu9.04桌面版为系统,如果您是9.10或者8.04的, 文章都有特别注释说明2主要步骤流程引用网站:http://www.open-xchange.com/wiki/index.php?title=Quick_install_guide_...
Open-Xchange问世 MS-Exchange遇开源对手
ZCatLinux --资讯与技术社区--Open Source World----Linux/Shell/DevOPS--
10-19 1204
微软在电子邮件服务器领域的竞争对手、软件公司Netline宣布将进军开放源代码领域。  该公司的电子邮件服务器平台的最新版本因采用开放源代码,开发时间只用了原来的十分之一。  六个星期前,Netline决定以GPL许可证(开放源代码最严格的一种许可证--译者注)发布它的Open - Xchange电子邮件服务器的源代码,本周三该软件的0.7.3版就进入了β测试阶段。  Netline的
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1....通过以上分析可以看出,ThinkPHP 5.0.x/5.1.x的变量覆盖RCE漏洞是由于不安全的数据处理和变量管理造成的。开发者应加强对框架内部实现的理解,并遵循最佳安全实践,以减少类似的安全风险。
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
Server-Side Template Injection (SSTI) 是一种严重的网络安全漏洞,尤其在现代Web应用程序,它可能导致远程代码执行(RCE)。2015年,James Kettle在黑帽大会上详细阐述了这种攻击方式,强调了它如何被误认为是跨...
Java 的序列化安全漏洞梳理
HongYu012的博客
03-30 2848
背景 现阶段公司会进行季度的安全巡检,扫描出来的 Java 相关漏洞,无论是远程代码执行、还是 JNDI 注入,基本都和 Java 的序列化机制有关。本文简单梳理了一下序列化机制相关知识,解释为什么这么多漏洞都和 Java 的序列化有关,以及后续怎么避免这些安全漏洞,减少版本升级工作量。同时能基于本文的知识,在看到序列化漏洞后,简单评估该漏洞对自身应用的影响 为什么需要序列化 序列化主要是提供了一种机制,方便数据在网络之间进行传输,或者独立于程序存储在本地磁盘。 序列化的使用场景很
Log4j一波未平,Logback 一波又起再爆漏洞
rqaz123的博客
12-29 947
背景 前些天Log4j的漏洞,不知多少程序被抓去加班,关键漏洞还是接连出现的,真是辛苦了程序员,也辛苦了Log4j的开源作者。 为此,二师兄还专门写了一篇还原漏洞的文章【原文点这里】。竟然有朋友在评论区说”就这么一个小漏洞,值得这么大肆的写吗?“。看来那位朋友还没意识到漏洞的严重性。 本来以为使用的是Logback能够躲过一劫,没想到,又看到朋友圈在讨论Logback的爆出的新漏洞,吓得赶紧看了一下项目的版本。 漏洞详情 为了了解一下是什么情况,先去官网(https://logback.qo
常见web漏洞及防范(转)
热门推荐
hackerie的博客
01-22 1万+
单个漏洞,需要进行排查与整改,借着别人的智慧,做一个简单的收集。最好能够将常见漏洞,不限于web类的,进行一个统一的整理。这是今年的任务。 进行漏洞的工具的收集,为未来的工作做好基础。。。 一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串夹带的S...
西部数据更新固件版本,修复4个漏洞
smellycat000的专栏
06-19 1188
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士西部数据提醒 My Cloud 系列设备的所有人表示,需要将设备更新至最新固件版本 5.26.202,否则从2023年6月15日开始将无法连接到云服务。西部数据希望借这种激进措施保护用户免受网络攻击,因为最新的固件版本修复了一个远程可利用漏洞,该漏洞可用于执行未认证代码执行操作。西部数据在支持公告提到,“从2023年6月15日开始,使用5.26...
奇安信(360)扫描漏洞解决办法
Servletimpl的博客
04-27 3690
奇安信(360)扫描漏洞 按照—奇安信的模板建议修改-------gitee可免费扫描 必须按 “修改建议” “修改建议” “修改建议” 修改才可以通过,在不影响代码的运行
Java代码漏洞检测-常见漏洞修复建议
最新发布
dzqxwzoe的博客
05-29 2810
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全文版)③项目源码(四五十个有趣且经典的练手项目及源码)
java代码审计和安全漏洞修复
qq_23858785的博客
06-16 1717
java代码审计和安全漏洞修复
Git修复两个远程代码执行漏洞
smellycat000的专栏
01-18 1155
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Git 修复了两个严重漏洞。攻击者在成功利用基于堆的缓冲区溢出弱点后,可利用这两个漏洞执行任意代码。由不受信任的搜索路径弱点引起的影响Git GUI工具的Windows 缺陷可使未认证威胁人员运行不受信任的代码低复杂度攻击。前两个漏洞(位于提交格式化机制的CVE-2022-41903和位于.gitattributes 解析器的CVE-2022...
CVE-2021-26084——Confluence OGNL 注入漏洞分析
战神/calmness的博客
09-04 2312
简述 2021年08月26日,Atlassian官方发布了Confluence OGNL 注入漏洞的风险通告,漏洞编号为CVE-2021-26084,漏洞等级:严重,漏洞评分:8.8。目前该漏洞安全补丁已更新。 Confluence是Atlassian公司的一个专业的企业知识管理与协同软件,也可以用于构建企业wiki,因此,Confluence的使用面很广。在某些情况下,未授权的攻击者可以构造特殊的请求,造成远程代码执行。 影响版本 组件
Thinkphp 5.0.x-5.1.x 变量覆盖RCE漏洞深度解析
ThinkPHP 5.0.x 和 5.1.x 版本的变量覆盖 Remote Code Execution (RCE) 漏洞分析是一篇关于ThinkPHP框架安全问题的文章,由作者whip1ash在2019年发布。文章指出,在这些早期版本,存在一个可能导致恶意代码执行的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值