Progress 紧急修复影响 LoadMaster 的超危RCE漏洞

于 2024-09-09 17:46:35 发布
阅读量1 收藏
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520732&idx=1&sn=8fafa0f4d8f56d2a8361866cce3ac84c&chksm=eb3d34e7930a433f48183bd0e3ce5a37cfa5e9145449116097ef96a3b05791df4116f2fcff5b&scene=126&sessionid=0
版权

1b196b1fb1255499b659c3df35b90429.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Progress Software 公司紧急修复了影响 LoadMaster 和 LoadMaster Mult-Tenant (MT)  Hypervisor产品的CVSS满分漏洞 (CVE-2024-7591),它可导致攻击者在设备上远程执行命令。

该漏洞被归类为输入验证不当漏洞,可导致未认证的远程攻击者使用特殊构造的 HTTP 请求访问 LoadMaster的管理接口。然而,缺乏用户输入清理还可导致攻击者在易受攻击的端点上执行任意系统命令。

该安全公告提到,“未认证的远程攻击者如能访问LoadMaster的管理接口来发布特殊构造的HTTP请求,将导致执行任意系统命令。”该漏洞目前已修复。

LoadMaster 是一款由大型组织机构使用的应用交付控制器 (ADC) 和加载均衡解决方案,用于优化应用性能、管理网络流量并确保服务高可用性。LoadMaster MT Hypervisor是位多租户环境设计的 LoadMaster 版本,可允许在同样的硬件上运行多个虚拟网络功能。

CVE-2024-7591影响 LoadMaster 7.2.60.0及之前版本、MT Hypervisor 7.1.35.11及之前版本。Long-Term Support(LTS)和Long-Term Support with Feature (LTSF) 分支也受影响。

为修复该漏洞,Progress 发布可在任何易受攻击版本(包括老版本)上安装的附件程序包,因此目前尚不存在升级至的目标版本。不过,该补丁并不适用于 LoadMaster 免费版本。

Progress Software 公司表示,截止到公告发布之时,并未收到任何关于该漏洞遭活跃利用的报告。尽管如此,建议所有的 LoadMaster 用户采取恰当措施确保自己的环境不受影响,包括安装该附件包以及执行厂商推荐的安全加固措施。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Progress 提醒注意Telerik Report Server中的严重RCE漏洞

速修复!Progress Telerik 中存在严重的认证绕过漏洞

速修复Progress Flowmon中的这个CVSS满分漏洞

原文链接

https://www.bleepingcomputer.com/news/security/progress-loadmaster-vulnerable-to-10-10-severity-rce-flaw/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

8f6fd64b190f1ed03f1bd85fcdc83c4f.jpeg

cc90e8d4c1a63a58f25ac675586b32a4.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   24640d5cb86188555fd412b095759208.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《WEB安全渗透测试》(30)RCE漏洞挖掘技巧
午夜安全
09-14 1602
我们安全工程师最喜欢的漏洞是什么?非RCE漏洞莫属!那RCE漏洞挖掘是否有技巧可言?
Spring 框架RCE 安全漏洞及解决方式
热门推荐
oscar999的专栏
03-31 1万+
“SpringShell: Spring Core RCE 0-day Vulnerability”。 这个漏洞是一个RCE漏洞RCE (remote command/code execute),远端命令执行, 也就是可以在远端控制服务器,相当于一个命令窗口,类似于linux 的Shell , 所以被称为 SpringShell。
Nacos 202407月RCE漏洞(0day)与复现
分享不一样的技术,与你一起共同成长!
07-31 1349
202407月, 爆出漏洞作者说由于某些原因,特意爆出了Nacos的一个RCE 0day漏洞。Nacos 是一个用于动态服务发现和配置以及服务管理的平台,Derby 是一个轻量级的嵌入式数据库。接口 /nacos/v1/cs/ops/derby 和 /nacos/v1/cs/ops/data/removal 在使用 Derby 数据库作为内置数据源时。用于运维人员进行数据运维和问题排查,在使用 standalone 模式启动 Nacos 时,为了避免因搭建外置数据库而占用额外的资源...
docker api未授权导致rce 漏洞修复
core815的专栏
05-26 1738
docker api未授权导致rce 漏洞修复
java rce漏洞原理_rce漏洞 远程代码执行 简介
weixin_42467634的博客
02-27 1825
1)什么是远程代码执行远程命令执行 英文名称:RCE (remote code execution),简称RCE漏洞,是指用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。2)远程代码执行的特点远程代码执行是指攻击者可能会通过远调用的方式来攻击或控制计算...
Progress Kemp LoadMaster 远程命令执行漏洞复现(CVE-2024-1212)
0xSec
05-01 654
Progress Kemp LoadMaster 存在远程命令执行漏洞,未经身份验证的远程攻击者可可利用此类洞写入后门文件执行任意命令,导致服务器被控。
ThinkPHP3.2.x RCE漏洞通报1
08-03
修复这个漏洞的最佳做法是尽快更新到不受影响的ThinkPHP版本,或者在代码中检查并限制`assign`方法的第一个参数,确保其不会被恶意篡改。同时,开发者应该定期对代码进行审计,以检测和防止类似的安全风险。
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
基于ssm的毕业论文管理系统设计与实现.docx
09-09
基于ssm的毕业论文管理系统设计与实现.docx
SortableTableView:Android 表格视图库(0积分下载)
最新发布
09-09
在 Android 应用开发中,提供用户交云和数据展示的功能是非常重要的。SortableTableView 是一个开源的 Android 库,它提供了一个简单的 TableView 组件以及一个更高级的可排序 TableView,允许开发者实现复杂的表格视图和数据排序功能。 SortableTableView 简介 SortableTableView 是由 ISchwarz23 开发的一个 Android 库,它旨在简化表格视图的创建和数据排序的过程。这个库提供了丰富的定制选项,使得开发者可以根据自己的需求定制表格的外观和行为。 功能特点 简单的 TableView:提供基础的表格视图,用于展示静态数据。 可排序的 TableView:支持触摸滑动进行数据排序,提供更流畅的用户体验。 高度可定制:允许开发者自定义表格的布局、样式和行为。 灵活的数据处理:支持各种数据源,易于与应用的数据模型集成。
永磁同步电机的双环以及三环控制仿真模型以及参考资料
09-09
永磁同步电机的双环以及三环控制仿真模型以及参考资料
gcc-12.1.0.tar.gz
09-09
gcc-12.1.0.tar.gz
亲测可用: Alcor Micro(安国) SC908AN/AU6989AN 量产低格工具打包
09-09
本人老U盘,出现写保护错误,抱着钻研学习的精神,找遍全网,所谓有用的几个版本都找到了,并测试了多个版本的WINDOWS系统,大致总结几点在后面,供大家参考。 我的U盘信息如下  主控厂商: Alcor Micro(安国)  主控型号: SC908AN/AU6989AN 闪存识别码:  45DE98927257 - SanDisk(闪迪) SDTNRCAMA-008G 1、这个芯片是早期11年,12年左右的,版本要时间接近; 2、据说支持这个芯片的工具我已经搜集全,并打包,包括(AlcorMPUFD_V11.09.28 )、(AlcorMP_5T2F_6T2F_2011-11-11)、(AlcorMP_V12.09.26.00)、(安国AU698X主控U盘量产工具 12.12.14.00); 3、操作系统有讲究,我是win7下成功的,有些系统可能还要给目录下的EXE设置兼容性和管理员权限运行。
嵌入式技术之STM32单片机之STM32相关示例代码
09-09
嵌入式技术之STM32单片机之STM32相关示例代码
蒙特卡洛法(mc 法)模拟熔池晶粒生长 统计晶粒尺寸和晶粒数目 matlab编写代码
09-09
蒙特卡洛法(mc 法)模拟熔池晶粒生长 统计晶粒尺寸和晶粒数目 matlab编写代码
JetBrains是一家全球知名的软件开发公司.docx
09-09
JetBrains是一家全球知名的软件开发公司,总部位于捷克共和国的布拉格,并在多个国家设有研发实验室和销售办事处。该公司成立于2000年,由Sergey Dmitriev、Eugene Belyaev及Valentin Kipiatkov共同创办,专注于为软件开发者和团队提供高效、智能的开发工具。以下是对JetBrains的详细介绍: 一、公司概况 成立时间:2000年 总部地点:捷克共和国布拉格 公司性质:私人持股公司 主要业务:软件开发,特别是集成开发环境(IDE)和团队工具的研发 全球布局:在俄罗斯的圣彼得堡及美国麻州波士顿设有办公室,并在全球范围内设有研发和销售机构 二、主要产品 JetBrains的产品线覆盖了多种编程语言和开发场景,主要包括但不限于以下几类: 1. IDE(集成开发环境) IntelliJ IDEA:专为Java开发者设计的强大IDE,支持Kotlin、Groovy、Scala等多种JVM语言,提供深度代码分析、智能代码补全、重构工具等功能。 PyCharm:专为Python开发设计的IDE,提供代码补全、错误高亮、即时代码检查、项目导航等功能,支持D
Vue-3-后台管理系统-vary-admin.zipkeil5安装教程
09-09
keil5安装教程 Vue_3_后台管理系统_vary-admin.zip
springboot基于微信小程序的停车场管理系统毕业论文.docx
09-09
springboot基于微信小程序的停车场管理系统毕业论文.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值