目录
四、信息安全漏洞
4.1 微软公司发布的安全漏洞
4.2 Cisco公司发布的安全漏洞
4.3 OpenSSL 公司发布的安全漏洞
4.4 威睿(VMware)公司发布的安全漏洞
4.5 华为公司发布的安全漏洞
4.6 IBM公司发布的安全漏洞
4.7 Apache安全漏洞
4.8 Oracle的安全漏洞
4.9 PHP的安全漏洞
4.10 bind的安全漏洞
四、信息安全漏洞
4.1 微软公司发布的安全漏洞
1、 Microsoft Message Queuing 安全漏洞
漏洞编号:CNNVD-202308-734 CVE-2023-35385
漏洞描述:Microsoft Message Queuing是用于实现需要高性能的异步和同步场景的解决方案。
Microsoft Windows Message Queuing存在安全漏洞。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响:Windows 10 Version 1809 for x64-based Systems,Windows 10 Version 1809 for ARM64-based Systems,Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows 11 version 21H2 for x64-based Systems,Windows 11 version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for 32-bit Systems,Windows 10 Version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for x64-based Systems,Windows 11 Version 22H2 for ARM64-based Systems,Windows 11 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for ARM64-based Systems,Windows 10 Version 22H2 for 32-bit Systems,Windows 10 Version 1809 for 32-bit Systems,Windows 10 for 32-bit Systems,Windows 10 for x64-based Systems,Windows 10 Version 1607 for 32-bit Systems,Windows 10 Version 1607 for x64-based Systems,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2008 for 32-bit Systems Service Pack 2,Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation),Windows Server 2008 for x64-based Systems Service Pack 2,Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation),Windows Server 2008 R2 for x64-based Systems Service Pack 1,Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation)。
相关链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35385
解决方案:根据链接将部署相应版本的补丁程序。
2、Microsoft Teams 安全漏洞
漏洞编号:CNNVD-202308-678 CVE-2023-29328
漏洞描述:Microsoft Teams是美国微软(Microsoft)公司的一款用于在线会议、聊天、云存储功能的软件。
Microsoft Teams存在安全漏洞。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响:Microsoft Teams for Desktop,Microsoft Teams for iOS,Microsoft Teams for Android,Microsoft Teams for Mac。
相关链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29328
解决方案:根据链接将部署相应版本的补丁程序。
3、Microsoft Exchange Server 安全漏洞
漏洞编号:CNNVD-202308-737 CVE-2023-21709
漏洞描述:Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序。它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。
Microsoft Exchange Server存在安全漏洞。攻击者利用该漏洞可以提升权限。以下产品和版本受到影响:Microsoft Exchange Server 2019 Cumulative Update 12,Microsoft Exchange Server 2016 Cumulative Update 23,Microsoft Exchange Server 2019 Cumulative Update 13。
相关链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21709
解决方案:根据链接将部署相应版本的补丁程序。
4、Microsoft Windows Kernel 安全漏洞
漏洞编号:CNNVD-202308-682 CVE-2023-35359
漏洞描述:Microsoft Windows Kernel是美国微软(Microsoft)公司的Windows操作系统的内核。
Microsoft Windows Kernel存在安全漏洞。攻击者利用该漏洞可以提升权限。以下产品和版本受到影响:Windows 10 Version 1809 for 32-bit Systems,Windows 10 Version 1809 for x64-based Systems,Windows 10 Version 1809 for ARM64-based Systems,Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows 11 version 21H2 for x64-based Systems,Windows 11 version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for 32-bit Systems,Windows 10 Version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for x64-based Systems,Windows 11 Version 22H2 for ARM64-based Systems,Windows 11 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for ARM64-based Systems,Windows 10 Version 22H2 for 32-bit Systems,Windows 10 for 32-bit Systems,Windows 10 for x64-based Systems,Windows 10 Version 1607 for 32-bit Systems,Windows 10 Version 1607 for x64-based Systems,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2008 for 32-bit Systems Service Pack 2,Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation),Windows Server 2008 for x64-based Systems Service Pack 2,Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation),Windows Server 2008 R2 for x64-based Systems Service Pack 1,Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation)。
相关链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35359
解决方案:根据链接将部署相应版本的补丁程序。
4.2 Cisco公司发布的安全漏洞
1、Cisco SD-WAN vManage输入验证错误漏洞
漏洞编号:CNVD-2023-62933 CVE-2023-20214
漏洞描述:Cisco SD-WAN vManage是美国思科(Cisco)公司的一个高度可定制的仪表板。可简化和自动化Cisco SD-WAN的部署、配置、管理和操作。
Cisco SD-WAN vManage存在输入验证错误漏洞,该漏洞源于使用REST API功能时请求验证不足,未经身份验证的远程攻击者可利用该漏洞获得读取权限或有限的写入权限。
相关链接:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-unauthapi-sphCLYPA
解决方案:根据链接将部署相应版本的补丁程序。
2、Cisco AsyncOS输入验证错误漏洞
漏洞编号:CNVD-2023-62932 CVE-2023-20215
漏洞描述:Cisco AsyncOS是美国思科(Cisco)公司的产品。Cisco AsyncOS是一款应用于思科设备的操作系统。
Cisco AsyncOS存在输入验证错误漏洞,该漏洞源于当流量以特定内容格式编码时,恶意流量检测不当,未经身份验证的攻击者可利用该漏洞绕过配置规则并接收设备本应拒绝的流量。
相关链接:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-bypass-vXvqwzsj
解决方案:根据链接将部署相应版本的补丁程序。
3、Cisco DNA Center授权问题漏洞
漏洞编号:CNVD-2023-62937 CVE-2023-20184
漏洞描述:Cisco DNA Center是美国思科(Cisco)公司的一个网络管理和命令中心服务。
Cisco DNA Center存在授权问题漏洞。该漏洞源于API请求授权不当,经过身份验证的远程攻击者可利用该漏洞以根用户身份从受限容器中读取信息、枚举用户信息或在受限容器中执行任意命令。
相关链接:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dnac-multiple-kTQkGU3
解决方案:根据链接将部署相应版本的补丁程序。
4.3 OpenSSL 公司发布的安全漏洞
本月不涉及OpenSSL的安全漏洞。
4.4 威睿(VMware)公司发布的安全漏洞
1、VMware Aria Operations 安全漏洞
漏洞编号:CNNVD-202308-2282 CVE-2023-20890
漏洞描述:VMware Aria Operations是美国威睿(VMware)公司的一个统一的、人工智能驱动的自动驾驶 IT 运营管理平台,适用于私有云、混合云和多云环境。
Aria Operations for Networks存在安全漏洞,该漏洞源于包含任意文件写入漏洞,具有管理访问权限的经过身份验证的恶意攻击者可以将文件写入任意位置,从而导致远程代码执相关链接:https://www.vmware.com/security/advisories/VMSA-2023-0018.html
解决方案:根据链接将部署相应版本的补丁程序。
2、VMware Aria Operations 安全漏洞
漏洞编号:CNNVD-202308-2281 CVE-2023-34039
漏洞描述:VMware Aria Operations是美国威睿(VMware)公司的一个统一的、人工智能驱动的自动驾驶 IT 运营管理平台,适用于私有云、混合云和多云环境。
Aria Operations for Networks存在安全漏洞,该漏洞源于缺乏唯一的加密密钥生成,导致身份验证绕过, 攻击者利用该可以绕过 SSH 身份验证来访问 Aria Operations for Networks CLI。
相关链接:https://www.vmware.com/security/advisories/VMSA-2023-0018.html
解决方案:根据链接将部署相应版本的补丁程序。
4.5 华为公司发布的安全漏洞
本月不涉及华为的安全漏洞。
4.6 IBM公司发布的安全漏洞
1、 lBM MQ Appliance 安全漏洞
漏洞编号:CNNVD-202307-1664 CVE-2023-28513
漏洞描述:IBM MQ Appliance是美国国际商业机器(IBM)公司的一款用于快速部署企业级消息中间件的一体机设备。
IBM MQ Appliance 9.2 LTS、9.3 LTS、9.2 CD 和 9.2 LTS版本存在安全漏洞,该漏洞源于在某些配置下容易受到拒绝服务攻击。
相关链接:https://www.ibm.com/support/pages/node/7007731
解决方案:根据链接将部署相应版本的补丁程序。
IBM Cognos Analytics 安全漏洞
2、漏洞编号:CNNVD-202307-1850 CVE-2023-25929
漏洞描述:IBM Cognos Analytics是美国国际商业机器(IBM)公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。
IBM Cognos Analytics 11.1版本和11.2版本存在安全漏洞,该漏洞源于存在跨站脚本(XSS)漏洞。攻击者可利用该漏洞在Web UI中嵌入任意Java代码。
相关链接:IBM Cognos Analytics是美国国际商业机器(IBM)公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。
IBM Cognos Analytics 11.1版本和11.2版本存在安全漏洞,该漏洞源于存在跨站脚本(XSS)漏洞。攻击者可利用该漏洞在Web UI中嵌入任意Java代码。
解决方案:根据链接将部署相应版本的补丁程序。
4.7 Apache安全漏洞
1、Apache Tomcat 输入验证错误漏洞
漏洞编号:CNNVD-202308-2096 CVE-2023-41080
漏洞描述:Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。
Apache Tomcat存在输入验证错误漏洞,该漏洞源于FORM身份验证功能存在开放重定向漏洞,允许攻击者将URL重定向到不受信任站点。受影响的产品和版本:Apache Tomcat 11.0.0-M1至11.0.0-M10版本,10.1.0-M1至10.0.12版本,9.0.0-M1至9.0.79版本,8.5.0 至8.5.92版本。
相关链接:https://lists.apache.org/thread/71wvwprtx2j2m54fovq9zr7gbm2wow2f
解决方案:根据链接将部署相应版本的补丁程序。
2、 Apache Airflow 输入验证错误漏洞
漏洞编号:CNNVD-202302-1977 CVE-2023-25691
漏洞描述:Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。
Apache Airflow Google Provider 8.10.0之前版本存在输入验证错误漏洞,该漏洞源于输入验证不当。
相关链接:https://lists.apache.org/thread/zdr8ovfttbh7kj0lydgcw88tbt2nmkcy
解决方案:根据链接将部署相应版本的补丁程序。
4.8 Oracle的安全漏洞
1、Oracle MySQL Server存在未明漏洞
漏洞编号:CNVD-2023-65500 CVE-2023-22057
漏洞描述:Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。
Oracle MySQL Server 8.0.33版本及之前版本存在安全漏洞。攻击者可利用该漏洞导致MySQL Server挂起或频繁重复崩溃。
相关链接:https://www.oracle.com/security-alerts/cpujul2023.html
解决方案:根据链接将部署相应版本的补丁程序。
2、Oracle MySQL Server存在未明漏洞
漏洞编号:CNVD-2023-65501 CVE-2023-22058
漏洞描述:Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。
Oracle MySQL Server 8.0.33版本及之前版本存在安全漏洞,攻击者可利用该漏洞导致MySQL Server挂起或频繁重复崩溃。
相关链接:https://www.oracle.com/security-alerts/cpujul2023.html
解决方案:根据链接将部署相应版本的补丁程序。
4.9 PHP的安全漏洞
1、PHP缓冲区溢出漏洞
漏洞编号:CNVD-2023-64640 CVE-2023-3824
漏洞描述:PHP是一种在服务器端执行的脚本语言。
PHP存在缓冲区溢出漏洞,该漏洞源于函数phar_dir_read在处理不受信任的输入时出现边界错误。攻击者可利用该漏洞导致内存损坏或远程代码执行(RCE)。
相关链接:https://helpx.adobe.com/security/products/acrobat/apsb23-30.html
解决方案:根据链接将部署相应版本的补丁程序。
2、PHPMyWind SQL注入漏洞
漏洞编号:CNVD-2023-64090 CVE-2020-21400
漏洞描述:
PHPMyWind是一套基于PHP和MySQL并符合W3C标准的企业网站建设解决方案。
PHPMyWind v.5.6版本存在SQL注入漏洞,远程攻击者可利用改漏洞通过modify函数中的id变量执行任意代码。
相关链接:https://nvd.nist.gov/vuln/detail/CVE-2020-21400
解决方案:根据链接将部署相应版本的补丁程序。
4.10 bind的安全漏洞
本月不涉及bind公司的安全漏洞。返回搜狐,查看更多
责任编辑: