公告编号:漏洞通告作者:admin发布日期:2023/12/22
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,易安联以及文章作者不承担任何责任。
易安联SRC拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明易安联允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1. Apache Dubbo多个反序列化漏洞安全
2. Google Chrome WebRTC 堆缓冲区溢出漏洞(CVE-2023-7024)
3. 金蝶Apusic应用服务器远程代码执行漏洞
4. Zabbix Server session 泄漏漏洞(CVE-2023-32725)
漏洞详情
1. Apache Dubbo多个反序列化漏洞安全
影响组件:
Apache Dubbo 是一款高性能、轻量级的开源 Java 服务框架。Apache Dubbo提供了六大核心能力:面向接口代理的高性能RPC调用,智能容错和负载均衡,服务自动注册和发现,高度可扩展能力,运行期流量调度,可视化的服务治理与运维。
漏洞危害:
攻击者通过向系统发送恶意数据包利用这些漏洞,成功后可以读取敏感信息或执行恶意代码。
影响范围:
Apache Dubbo 反序列化漏洞(CVE-2023-46279):
Apache Dubbo == 3.1.5
Apache Dubbo 反序列化漏洞(CVE-2023-29234):
Apache Dubbo 3.2.x <= 3.2.4
Apache Dubbo 3.1.x <= 3.1.10
修复方案:
目前官方已有可更新版本,建议受影响用户升级至最新版本。
https://github.com/apache/dubbo/releases。
2. Google Chrome WebRTC 堆缓冲区溢出漏洞(CVE-2023-7024)
影响组件:
Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎,提升浏览器的处理速度。支持多标签浏览,每个标签页面都在独立的“沙箱”内运行。WebRTC 是众多 Web 浏览器(包括 Mozilla Firefox、Safari 和 Microsoft Edge)使用的关键组件,用于通过 JavaScript API 提供视频流、文件共享和 VoIP 电话等实时通信 (RTC) 功能。
漏洞危害:
该漏洞存在在野利用,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码或导致浏览器崩溃。
影响范围:
Google Chrome(Windows) < 120.0.6099.129/130
Google Chrome(Mac/Linux) < 120.0.6099.129
修复方案:
目前官方已发布安全更新,受影响用户可以更新到最新版本。
3. 金蝶Apusic应用服务器远程代码执行漏洞
影响组件:
金蝶Apusic应用服务器(Kingdee Apusic Application Server)是金蝶软件推出的一款企业级Java应用服务器。它提供了一个稳定、高效、可扩展的运行环境,用于部署和管理企业级Java应用程序。
漏洞危害:
攻击者可以构建绕过权限控制的请求,恶意访问和操作管控台,导致安全风险,配合其他安全缺陷即可导致远程代码执行。
影响范围:
V9.0 SP7及以下版本
修复方案:
官方已发布修复方案,已经在最新的V9.0 SP8版本解决:
https://www.apusic.com/view-477-113.html
4. Zabbix Server session 泄漏漏洞(CVE-2023-32725)
影响组件:
Zabbix是一个开源的实时监控软件,用于监控IT设备的状态和性能。
漏洞危害:
2023年12月,Zabbix官方发布安全公告,披露在使用了URL widget时,其中的URL网站可能获取到Zabbix Session Cookie信息,进而可利用获取的Cookie登录进入Zabbix。
影响范围:
6.0.0 - 6.0.21 / 6.0.22rc1
6.4.0 - 6.4.6 / 6.4.7rc1
7.0.0alpha1 - 7.0.0alpha3 / 7.0.0alpha4
修复方案:
官方已发布安全更新,建议升级至最新版本。
https://support.zabbix.com/browse/ZBX-23854
