根据国家信息安全漏洞库(CNNVD)统计,本周(2024.04.01~2024.04.07)CNNVD接报漏洞303个,其中信息技术产品漏洞(通用型漏洞)203个,网络信息系统漏洞(事件型漏洞)100个,其中华云安报送1个;CNNVD收录漏洞通报148份。
本周重点关注漏洞包括:CVE-2024-29834 Apache Pulsar 安全漏洞、CVE-2024-22248 VMware SD-WAN Orchestrator 安全漏洞、CVE-2024-3159 Google Chrome 越界内存访问漏洞、CVE-2024-27316 Apache httpd 资源管理错误漏洞、CVE-2024-31309 Apache Traffic Server 安全漏洞、CVE-2024-24746 Apache NimBLE 安全漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2024-29834 Apache Pulsar 安全漏洞
威胁等级:高危
漏洞描述:
2024年04月02日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache Pulsar 2.7.1 到 2.10.6、2.11.0 到 2.11.4、3.0.0 到 3.0.3、3.1.0 到 3.1.3 以及 3.2.0 到 3.2.1版本存在安全漏洞。Apache Pulsar 是由 Apache 基金会开发的一个分布式消息流平台,该平台专为云环境设计,集成了消息传递、存储和轻量级函数式计算功能,Apache Pulsar 具备为大规模分布式系统提供高性能、低延迟的消息服务,同时确保消息的持久性和可靠性。该漏洞起因是系统对具有生产或消费权限的用户权限控制不足,攻击者可利用该漏洞执行代码。
情报来源:
https://lists.apache.org/thread/v0ltl94k9lg28qfr1f54hpkvvsjc5bj5
02 CVE-2024-22248 VMware SD-WAN Orchestrator 安全漏洞
威胁等级:高危
漏洞描述:
2024年04月02日,华云安思境安全团队监测发现 Vmware 官方发布安全通告,披露了 VMware SD-WAN Orchestrator 存在安全漏洞。VMware SD-WAN Orchestrator 是 VMware 公司推出的一款软件定义网络(SD-WAN)解决方案,通过使用 VMware SD-WAN Orchestrator 企业能够实现对网络数据流的集中化控制和自动化管理,从而提高网络性能、降低运营成本、增强网络的灵活性、可扩展性。该安全漏洞起因是开放的重定向缺陷,攻击者有机会诱导用户重新导向至攻击者所操控的网站。
情报来源:
https://www.vmware.com/security/advisories/VMSA-2024-0008.html
03 CVE-2024-3159 Google Chrome 越界内存访问漏洞
威胁等级:超危
漏洞描述:
2024年04月04日,华云安思境安全团队发现 RedHat 官网发布了安全通告,披露了 Google Chrome 123.0.6312.105 之前版本存在安全漏洞。Google Chrome 是谷歌公司开发的的Web浏览器,以高速的性能、简洁的用户界面、强大的安全性和隐私保护功能深受用户广泛使用。攻击者可利用该漏洞通过特定的HTML页面执行任意读写操作。
情报来源:
https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop.html
04 CVE-2024-27316 Apache httpd 资源管理错误漏洞
威胁等级:高危
漏洞描述:
2024年04月05日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache httpd 存在资源管理错误漏洞。Apache httpd 是 Apache 软件基金会开发的一款开源HTTP服务器软件,它支持 Linux、Windows、macOS 等多种操作系统,同时支持各种模块和扩展,可以满足不同场景下的Web服务需求。该漏洞起因是服务器对客户端连续发送的HTTP/2标头处理不当引发,攻击者可通过不断地发送这些标头,消耗服务器内存资源,最终导致服务器因内存耗尽而无法提供正常服务。
情报来源:
https://httpd.apache.org/security/vulnerabilities_24.html
05 CVE-2024-31309 Apache Traffic Server 安全漏洞
威胁等级:高危
漏洞描述:
2024年04月06日,华云安思境安全团队监测发现 Redhat 官方发布安全通告,披露了 Apache Traffic Server 8.1.10之前版本、9.2.4之前版本存在安全漏洞。Apache Traffic Server 是由 Apache软件基金会开发的高性能、可扩展的HTTP代理和缓存服务器,具有为网络服务提供高吞吐量和低延迟的特性,支持广泛的缓存策略和流量管理功能。该漏洞的起因是 Apache Traffic Server 在处理HTTP/2 请求时的输入验证不当,攻击者可利用该漏洞发送特制的HTTP/2请求,导致服务器资源耗尽。
情报来源:
https://access.redhat.com/security/cve/cve-2024-31309
06 CVE-2024-24746 Apache NimBLE 安全漏洞
威胁等级:超危
漏洞描述:
2024年04月07日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache NimBLE 1.6.0版本及之前版本存在安全漏洞。Apache NimBLE 是 Apache Mynewt 项目中的一个关键组件,它为物联网设备提供了一个开源的蓝牙5.4堆栈,这个堆栈支持高度可配置和可扩展的蓝牙功能,使开发者能够为各种IoT应用构建高效且可靠的蓝牙通信能力。攻击者可通过发送特定的GATT 请求来使NimBLE设备陷入无限循环,导致系统服务异常。
情报来源:
https://lists.apache.org/thread/bptkzc0o2ymjk8qqzqdmy39kcmh27078
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。