安全漏洞周报(2024.11.25 -2024.12.02)

摘要:影响组件:Mozilla Firefox 是一款广泛使用的开源网页浏览器,它由 Mozilla 基金会和其子公司 Mozilla Corporation 开发。Firefox 以其对网络标准的高兼容性、对用户隐私的重视以及对扩展和自定义的支持而受到用户的青睐。


漏洞速览

H3C SecCenter SMP 安全管理平台远程代码执行风险Mozilla Firefox 释放后重用漏洞(CVE-2024-9680)安全风险Zabbix服务addRelatedObjects SQL注入风险(CVE-2024-42327)GitLab LFS Token 权限提升漏洞(CVE-2024-8114)安全风险

漏洞详情


1.H3C SecCenter SMP 安全管理平台远程代码执行风险

影响组件:H3C SecCenter SMP(Security Manager Platform,安全业务管理平台)是一个负责网络安全业务的独立平台。SMP 能够对网络中的防火墙、入侵防御安全设备进行统一管理,并适应各种网络规模需求,为部署于各关键位置的安全设备提供集中的安全策略管理与控制,且能直观地为实时事件监控和综合分析攻击等各种安全事件提供丰富的统计报告。
漏洞危害:H3C SecCenter SMP 安全管理平台远程代码执行漏洞情报,攻击者可利用该漏洞上传Webshell,进而控制服务器,利用难度较低H3C官方已发布修复补丁,建议受影响的用户尽快修复
影响范围:version
修复方案:H3C官方已发布安全通告,请尽快联系厂商下载更新补丁。官方通告链接:https://www.h3c.com/cn/Service/Online_Help/psirt/security-notice/detail_2021.htm?Id=226

2.Mozilla Firefox 释放后重用漏洞(CVE-2024-9680)安全风险

影响组件:Mozilla Firefox 是一款广泛使用的开源网页浏览器,它由 Mozilla 基金会和其子公司 Mozilla Corporation 开发。Firefox 以其对网络标准的高兼容性、对用户隐私的重视以及对扩展和自定义的支持而受到用户的青睐。Animation timelines 是一个用于控制CSS动画进度的CSS属性。它允许开发者指定一个时间线,这个时间线可以是默认的文档时间线,也可以是与滚动事件相关联的滚动进度时间线,或者是与元素可见性变化相关联的视图进度时间线。通过animation-timeline属性,可以创建更加丰富和互动的动画效果。
漏洞危害:发布公告称Mozilla Firefox Animation timelines 释放后重用漏洞(CVE-2024-9680)存在在野利用,远程攻击者能够通过利用 Animation timelines 中的释放后使用漏洞在内容进程中实现代码执行。目前此漏洞细节和POC已在互联网公开,鉴于此漏洞已发现在野利用,建议客户尽快做好自查及防护。
影响范围:Firefox Firefox ESR Firefox ESR
修复方案:目前官方已有可更新版本,建议受影响用户升级至最新版本:Firefox >= 131.0.2Firefox ESR >= 115.16.1Firefox ESR >= 128.3.1官方补丁下载地址:

3.Zabbix服务addRelatedObjects SQL注入风险(CVE-2024-42327)

影响组件:zabbix是一个基于 Web 界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。
漏洞危害:Zabbix组件存在SQL注入漏洞的,Zabbix的addRelatedObjects 函数存在一个严重漏洞,只具有访问权限的攻击者可以利用该漏洞执行任意sql语句,执行任意代码,导致服务器失陷。目前此漏洞细节和POC已在互联网公开,鉴于此漏洞已发现在野利用,建议客户尽快做好自查及防护。
影响范围:目前受影响的Zabbix版本:6.0.0 ≤ Zabbix Zabbix 7.0.0
修复方案:官方已发布新版本修复该漏洞,建议受影响用户将Zabbix更新到6.0.32rc1,6.4.17rc1,7.0.1rc1版本。下载链接:https://www.zabbix.com/download

4.GitLab LFS Token 权限提升漏洞(CVE-2024-8114)安全风险

影响组件:GitLab是一款用于仓库管理的开源项目,它提供了一整套工具来帮助开发团队进行项目管理、代码托管、持续集成/持续部署(CI/CD)、监控、以及更多的功能。
漏洞危害:官方修复GitLab LFS Token 权限提升漏洞(CVE-2024-8114),由于GitLab对LFS令牌的处理存在缺陷,使得攻击者可以利用用户的个人访问令牌(PAT)来获取LFS令牌,进而以该用户的身份执行未经授权的操作,比如读取或修改存储在LFS中的敏感文件。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
影响范围:8.12 GitLab CE/EE 17.5.* GitLab CE/EE 17.6.*
修复方案:目前官方已有可更新版本,建议受影响用户升级至最新版本:GitLab CE/EE 17.6.* >= 17.6.1GitLab CE/EE 17.5.* >= 17.5.3GitLab CE/EE >= 17.4.5官方补丁下载地址:
以上内容均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,易安联以及文章作者不承担任何责任。

易安联玄影实验室


易安联玄影实验室,是易安联为落实公司发展战略,促进网络空间安全生态建设,孵化下一代安全能力,进行高级别的攻防对抗研究而组建的专业性安全实验室。推出的威胁情报和天织DNS威胁分析平台,可以为用户提供高效的威胁防护能力,帮助用户更好地应对各类网络威胁。

关于易安联

国家级专精特新小巨人企业——江苏易安联网络技术有限公司(www.enlink.top,简称易安联)是专业从事网络信息安全产品研发与销售的高新技术企业,是国内领先的“零信任”安全产品及解决方案提供商,公司总部位于南京,在北京、深圳、珠海、杭州、成都、合肥、济南、西安等地设立分支机构,公司致力于成为国内零信任安全领导者!



易安联专注零信任安全,先后发布EnSDP(零信任安界防护平台)、EnBox(零信任安全工作空间)、EnCASB(零信任云应用安全接入平台)、EnAppGate(统一资源发布系统)、EnIAM(零信任身份管理平台)、EnDTA(天织·DTA威胁分析系统)、EnSASE(安全访问服务平台)、Linkup one(零信任VPN接入系统)、天识·网站云监控平台等多款产品及解决方案,推出ZTNA零信任网络架构解决方案和EnSASE安全访问服务边缘解决方案并提供包括安全运维、实战攻防、应急演练等安全服务。公司目前客户已超千家,涵盖教育、金融、电力、互联网、运营商等行业。




来源:易安联零信任

相关推荐