漏洞速览
■ Apache Dubbo多个反序列化漏洞安全漏洞详情
1.Apache Dubbo多个反序列化漏洞安全
影响组件: Apache Dubbo 是一款高性能、轻量级的开源 Java 服务框架。Apache Dubbo提供了六大核心能力:面向接口代理的高性能RPC调用,智能容错和负载均衡,服务自动注册和发现,高度可扩展能力,运行期流量调度,可视化的服务治理与运维。 漏洞危害: 攻击者通过向系统发送恶意数据包利用这些漏洞,成功后可以读取敏感信息或执行恶意代码。 影响范围: Apache Dubbo 反序列化漏洞(CVE-2023-46279): Apache Dubbo == 3.1.5 A pache Dubbo 反序列化漏洞(CVE-2023-29234): Apache Dubbo 3.2.x <= 3.2.4 Apache Dubbo 3.1.x <= 3.1.10 修复方案: 目前官方已有可更新版本,建议受影响用户升级至最新版本。 https://github.com/apache/dubbo/releases2.Google Chrome WebRTC 堆缓冲区溢出漏洞(CVE-2023-7024)
影响组件: Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎,提升浏览器的处理速度。支持多标签浏览,每个标签页面都在独立的“沙箱”内运行。WebRTC 是众多 Web 浏览器(包括 Mozilla Firefox、Safari 和 Microsoft Edge)使用的关键组件,用于通过 JavaScript API 提供视频流、文件共享和 VoIP 电话等实时通信 (RTC) 功能。 漏洞危害: 该漏洞存在在野利用,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码或导致浏览器崩溃。 影响范围: GoogleChrome(Windows)<120.0.6099.129/130 GoogleChrome(Mac/Linux)<120.0.6099.129 修复方案: 目前官方已发布安全更新,受影响用户可以更新到最新版本 。3.金蝶Apusic应用服务器远程代码执行漏洞
影响组件: 金蝶Apusic应用服务器(Kingdee Apusic Application Server)是金蝶软件推出的一款企业级Java应用服务器。它提供了一个稳定、高效、可扩展的运行环境,用于部署和管理企业级Java应用程序。 漏洞危害: 攻击者可以构建绕过权限控制的请求,恶意访问和操作管控台,导致安全风险,配合其他安全缺陷即可导致远程代码执行。4.Zabbix Server session 泄漏漏洞(CVE-2023-32725)
影响组件: Zabbix是一个开源的实时监控软件,用于监控IT设备的状态和性能。 漏洞危害: 2023年12月,Zabbix官方发布安全公告,披露在使用了URL widget时,其中的URL网站可能获取到Zabbix Session Cookie信息,进而可利用获取的Cookie登录进入Zabbix。 影响范围: 6.0.0 - 6.0.21 / 6.0.22rc1 6.4.0 - 6.4.6 / 6.4.7rc1 7.0.0alpha1-7.0.0alpha3/7.0.0alpha4 修复方案: 官方已发布安全更新,建议升级至最新版本。 https://support.zabbix.com/browse/ZBX-23854易安联高级攻防实验室
易安联高级攻防实验室,是易安联为落实公司发展战略,促进网络空间安全生态建设,孵化下一代安全能力,进行高级别的攻防对抗研究而组建的专业性安全实验室。推出的威胁情报和天织DNS威胁分析平台,可以为用户提供高效的威胁防护能力,帮助用户更好地应对各类网络威胁。
关于易安联
江苏易安联网络技术有限公司(www.enlink.top,简称易安联)是专业从事网络信息安全产品研发与销售的高新技术企业,是国内领先的“零信任”产品及解决方案提供商,公司总部位于南京,在北京、深圳、安徽、山东、杭州、西安等地设立分支机构,公司致力于成为国内零信任安全行业领导者!
易安联专注零信任安全,先后发布EnSDP(零信任安界防护平台)、EnBox(零信任安全工作空间)、EnCASB(零信任云应用安全接入平台)、EnAppGate(统一资源发布系统)、EnIAM(零信任身份管理平台)、EnDTA(天织·DTA威胁分析系统)等多款产品及解决方案,推出ZTNA零信任网络架构解决方案和EnSASE安全访问服务边缘解决方案并提供包括安全运维、实战攻防、应急演练等安全服务。公司目前客户已超800家,涵盖教育、金融、电力、互联网、运营商等行业。
https://mp.weixin.qq.com/s/zs70HW1F345LWeENMOX1ww