目录
一月 29, 2024
瞻博网络发布关键 RCE 漏洞的更新
漏洞类型: 缺少身份验证漏洞和跨站脚本 (XSS) 漏洞.
问题: Juniper Networks 的 SRX 和 EX 系列存在严重缺陷,特别是 CVE-2024-21619 (CVSS 评分:5.3),存在暴露敏感信息的缺失身份验证漏洞,以及 CVE-2024-21620 (CVSS 得分:8.8),这是一个允许执行任意命令的跨站点脚本错误。 两者都会影响 J-Web 和所有 Junos OS 版本。 利用这些问题可以让威胁行为者控制系统.
已知被利用的漏洞列表还添加了之前披露的问题 CVE-2023-36846 和 CVE-2023-36851, 强调立即修复的重要性.
修复: 瞻博网络已发布 周期外修复 对于 CVE-2024-21619 和 CVE-2024-21620 — 将修复应用于已识别的版本。 作为临时补救措施,禁用 J-Web 或限制对受信任主机的访问.
一月 30, 2024
Azure Pipelines 代码缺陷影响开源项目
漏洞类型: Microsoft Azure Pipelines 中的代码漏洞.
问题: 合法安全研究人员 发现 Azure Pipelines 中的一个漏洞影响了大约 70,000 个开源项目。 利用此问题,黑客可以在测试期间引入恶意代码,从而可能暴露敏感数据。 它是由构建系统项目的贡献触发的,并诱使系统在实时环境中运行测试代码。 这的严重性得分为 7.3(满分) 10.
修复: 微软已经 发布了修复 于 2023 年 10 月解决此漏洞。 它可以保护已收到最新更新或自动安装更新的客户。 该问题主要影响 Azure Pipelines 的本地版本,需要手动更新以确保安全。 此外, Azure 开发运营 现在简化了组织级策略控制,用于从分叉的 GitHub 项目创建拉取请求.
Orca Security 首席技术布道者 Neil Carpenter 发布了有关 Azure Pipelines 和 Jenkins CLI 漏洞的建议:
“此次 [Azure Pipelines] 披露和上周披露的 Jenkins 任意文件读取漏洞强调,组织不仅需要关注其应用程序本身的安全性,还需要关注用于构建和测试应用程序的基础设施的安全性。 组织应确保他们对 CI/CD 管道的安全性以及更新和监控 DevOps 基础设施有可靠的计划,并且在发现潜在事件时有明确的响应计划.”
一月 31, 2024
苹果在多个操作系统中面临新的主动利用
漏洞类型: 影响 iOS、iPadOS、macOS、tvOS 和 watchOS 的内核缺陷.
问题: CVE-2022-48618 (CVSS 分数:7.8)允许具有任意读写权限的攻击者潜在地克服指针身份验证,这会影响多个 Apple 操作系统。 利用该漏洞可能会导致对受影响设备进行未经授权的访问和控制。 尽管苹果于 2022 年 12 月发布了补丁,但一年后该漏洞的公开披露暴露了运行 iOS 15.7.1 之前版本的设备中可能存在的漏洞,需要立即采取行动.
修复: 申请已发出的 补丁 从 2022 年 12 月 13 日开始,更新至 iOS 16.2、iPadOS 16.2、macOS Ventura 13.1、tvOS 16.2 和 watchOS 9.2。 鉴于报告的漏洞,联邦民事行政部门机构应在 2024 年 2 月 21 日之前实施解决方案。此外,Apple 还扩大了对 WebKit 错误的修复 (CVE-2024-23222) 将 Apple Vision Pro 耳机纳入 VisionOS 1.0.2.
Glibc 缺陷威胁主要 Linux 发行版
漏洞类型: GNU C 库中基于堆的缓冲区溢出漏洞.
问题: 最近发现的漏洞 (CVE-2023-6246) glibc中的__vsyslog_internal()函数对Linux系统构成严重威胁,允许本地攻击者获得完整的root访问权限。 这种基于堆的缓冲区溢出是在 2022 年 8 月的 glibc 2.37 中意外引入的,它影响了 Debian、Ubuntu 和 Fedora 等主要 Linux 发行版.
Qualys 是一家网络安全公司 裸露 更多问题 (CVE-2023-6779 和 CVE-2023-6780) 在 __vsyslog_internal() 中,以及导致内存损坏并影响所有 glibc 版本的 qsort() 错误 1992.
修复: 通过将 glibc 更新到 glibc 2.37 中引入该错误后发布的版本来缓解 CVE-2023-6246。 由于影响较大,及时更新至关重要。 通过定期检查 glibc 升级来解决其他漏洞(CVE-2023-6779 和 CVE-2023-6780).
二月 1, 2024
Jenkins CLI 漏洞导致 RCE
漏洞类型: 允许 RCE 的任意文件读取漏洞.
问题: CVE-2024-23897 揭示了 Jenkins CLI 中的一个重大漏洞,允许攻击者访问控制器文件系统上的文件。 此安全问题源于一个看似无害的 CLI 功能,该功能允许对敏感数据和加密密钥进行未经授权的访问。 该漏洞的 CVSS 评分为 9.8,允许远程代码执行和其他攻击.
修复: 遵循漏洞补丁 上星期, 有一个新的 更新的概念验证 (PoC) CVE-2024-23897 的漏洞发布于 GitHub. 强烈建议用户及时将安装更新到最新版本,以降低潜在风险.
Ivanti 披露两个新的高严重性缺陷,并发布补丁更新
漏洞类型: 权限提升和服务器端请求伪造.
问题: 伊万蒂警告 两个高度严重的缺陷 连接安全和策略安全,其中之一已成为利用目标. CVE-2024-21888 (CVSS 分数:8.8)可实现权限升级,而 CVE-2024-21893 (CVSS 分数:8.2)公开了 SAML 中的服务器端请求伪造。 尽管 CVE-2024-21893 的利用是有针对性的并影响少数消费者,但迄今为止没有迹象表明 CVE-2024-21888 的影响。 Ivanti 预测一旦细节公开,剥削就会增加.
CISA 发布了 咨询 概述了更新的缓解措施,以防止威胁行为者利用 Ivanti 设备上的 Ivanti Connect 安全和策略安全网关中的漏洞.
修复: 伊万蒂有 发布补丁 针对 Connect Secure 和 Policy Secure 中的高风险问题。 将补丁应用于 9.1R14.4、9.1R17.2、9.1R18.3、22.4R2.2、22.5R1.1 和 22.6R1.3。 为了避免威胁行为者持续存在,他们建议在修补之前恢复出厂设置。 导入“mitigation.release.20240126.5.xml”作为临时解决方案,但要保持警惕,因为公开发布后利用可能会增加.
二月 2, 2024
Mastodon 漏洞带来远程帐户冒充风险
漏洞类型: 严重来源验证错误.
问题: Mastodon 是一个用于构建自托管社交网络服务的开源平台,发现了一个重大安全漏洞 (CVE-2024-23832, CVSS 评分:9.4)。 由于来源验证不足,它允许攻击者模仿并控制去中心化社交网络上的任何帐户。 易受攻击的版本包括 3.5.17 之前、4.0.x(4.0.13 之前)、4.1.x(4.1.13 之前)和 4.2.x(4.0.13 之前)-4.2.5).
这项披露是在 Mastodon 七个月后披露的 修补过的 另外两个严重问题 (CVE-2023-36460 和 CVE-2023-36459) 攻击者可能会利用它来发起拒绝服务 (DoS) 或远程代码执行.
修复: 为了解决 CVE-2024-23832,Mastodon 建议 升级 到版本 3.5.17、4.0.13、4.1.13 或 4.2.5。 管理员必须在 2024 年 2 月 15 日之前应用更改; 然而,Mastodon 拒绝透露技术细节,以减少被利用的危险。 由于去中心化网络的联合结构,各个管理员必须确保其实例按时收到安全更新.