九九久久网站,天天五月丁香五月,精品成人无码久久久久,欧美三级美国一级,老司机天天综合网,欧洲精品一区,久久国产精品99久久人人澡,暴操美女

聲明

以下內(nèi)容，均摘自于互聯(lián)網(wǎng)，由于傳播，利用此文所提供的信息而造成的任何直接或間接的后果和損失，均由使用者本人負責，雷神眾測以及文章作者不承擔任何責任。

雷神眾測擁有該文章的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此文章，必須保證此文章的副本，包括版權(quán)聲明等全部內(nèi)容。聲明雷神眾測允許，不得任意修改或增減此文章內(nèi)容，不得以任何方式將其用于商業(yè)目的。

1. Apache Dubbo Hessian-Lite高危安全漏洞

2. Microsoft Windows HTTP 協(xié)議棧遠程代碼執(zhí)行漏洞

3. 銳捷EG2000系列易網(wǎng)關WEB管理系統(tǒng)存在命令執(zhí)行漏洞

4. Atlassian Jira遠程代碼執(zhí)行漏洞

漏洞詳情

1. Apache Dubbo Hessian-Lite高危安全漏洞

漏洞介紹：

Dubbo是阿里巴巴公司開源的一個高性能優(yōu)秀的服務框架，使得應用可通過高性能的 RPC 實現(xiàn)服務的輸出和輸入功能，可以和Spring框架無縫集成。

漏洞危害：

在Dubbo Hessian-Lite 3.2.11及之前版本中存在反序列化漏洞可能導致惡意代碼執(zhí)行。大多數(shù) Dubbo 用戶默認使用 Hessian2序列化/反序列化協(xié)議，在Hessian捕獲異常期間，Hessian會注銷一些信息，這可能導致遠程命令執(zhí)行。

漏洞編號：

CVE-2021-43297

影響范圍：

Apache Dubbo 2.6.x <2.6.12

Apache Dubbo 2.7.x <2.7.15

Apache Dubbo 3.0.x <3.0.5

修復方案：

高危：目前漏洞利用代碼暫未公開，但可以通過補丁對比方式定位漏洞觸發(fā)點并開發(fā)漏洞利用代碼，官方已發(fā)布漏洞補丁及修復版本，建議部署了Apache Dubbo的用戶盡快排查是否受影響，酌情升級至安全版本。

處置措施：

升級Apache Dubbo至安全版本,具體建議如下：

1)使用Dubbo 2.6.x的用戶，請升級到2.6.12；

2)使用Dubbo 2.7.x的用戶，請升級到2.7.15；

3)使用Dubbo 3.0.x的用戶，請升級到3.0.5。

來源：安恒信息應急響應中心??

2. Microsoft Windows HTTP 協(xié)議棧遠程代碼執(zhí)行漏洞

漏洞介紹：

Microsoft Windows HTTP 協(xié)議棧（HTTP.sys）是Windows操作系統(tǒng)中處理HTTP請求的內(nèi)核驅(qū)動程序，常見于Web瀏覽器與 Web 服務器之間的通信，，以及Internet Information Services (IIS)中。

漏洞危害：

由于HTTP協(xié)議棧（HTTP.sys）中的HTTP Trailer Support功能存在邊界錯誤可導致緩沖區(qū)溢出。未經(jīng)身份認證的攻擊者可通過向目標 Web 服務器發(fā)送特制的HTTP請求來處理數(shù)據(jù)包，利用此漏洞，從而在目標系統(tǒng)上執(zhí)行任意代碼。利用此漏洞不需要身份認證和用戶交互，微軟官方將其標記為蠕蟲漏洞，并建議優(yōu)先修補受此漏洞影響的服務器。默認情況下，Windows Server 2019 和 Windows 10 版本 1809不易受到攻擊。除非用戶已通過EnableTrailerSupport注冊表值啟用 HTTP Trailer Support，否則系統(tǒng)不會受到攻擊。

漏洞編號：

CVE-2022-21907

影響范圍：

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

修復方案：

及時測試并升級到最新版本

來源：360CERT

3.?銳捷EG2000系列易網(wǎng)關WEB管理系統(tǒng)存在命令執(zhí)行漏洞

漏洞介紹：

北京星網(wǎng)銳捷網(wǎng)絡技術有限公司是一家擁有包括交換機、路由器、軟件、安全防火墻、無線產(chǎn)品、存儲等全系列的網(wǎng)絡設備產(chǎn)品線及解決方案的專業(yè)化網(wǎng)絡廠商。

漏洞危害：

銳捷EG2000系列易網(wǎng)關WEB管理系統(tǒng)存在命令執(zhí)行漏洞，攻擊者可利用該漏洞獲取服務器控制權(quán)?

影響范圍：

北京星網(wǎng)銳捷網(wǎng)絡技術有限公司 EG2000CE EG_RGOS 11.1(1)B1

北京星網(wǎng)銳捷網(wǎng)絡技術有限公司 EG2000SE EG_RGOS 11.1(1)B1

北京星網(wǎng)銳捷網(wǎng)絡技術有限公司 EG2000GE EG_RGOS 11.1(1)B1

北京星網(wǎng)銳捷網(wǎng)絡技術有限公司 EG2000P EG_RGOS 11.1(1)B1

修復建議：

及時測試并升級到最新版本或升級版本

來源：CNVD

4. Atlassian Jira遠程代碼執(zhí)行漏洞

漏洞介紹：

Atlassian Jira是澳大利亞Atlassian公司的一套缺陷跟蹤管理系統(tǒng)。該系統(tǒng)主要用于對工作中各類問題、缺陷進行跟蹤管理。

漏洞危害：

Atlassian Jira存在遠程代碼執(zhí)行漏洞，該漏洞源于網(wǎng)絡系統(tǒng)或產(chǎn)品未對輸入的數(shù)據(jù)進行正確的驗證。攻擊者可利用該漏洞通過電子郵件模板功能執(zhí)行任意代碼。

漏洞編號：

CVE-2021-43947

影響范圍：

Atlassian Jira Server and Data Center <8.13.15

Atlassian Jira Server and Data Center 8.14.0，<8.20.3

修復建議：

及時測試并升級到最新版本

來源：CNVD

專注滲透測試技術

全球最新網(wǎng)絡攻擊技術

END

雷神眾測漏洞周報2022.01.10-2021.01.16-4