雷神众测漏洞周报2022.01.24-2022.02.08-4

共 988字,需浏览 2分钟

 ·

2022-02-10 23:52

声明

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。


目录

1. Linux Polkit 权限提升漏洞

2. McAfee Agent命令注入漏洞

3. Mattermost代码问题漏洞

4. PostgreSQL任意代码执行漏洞


漏洞详情

1. Linux Polkit 权限提升漏洞


漏洞介绍:

pkexec 应用程序是一个 setuid 工具,旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。


漏洞危害:

polkit 的 pkexec 实用程序中存在一个本地权限提升漏洞。当前版本的 pkexec 无法正确处理调用参数计数,并最终尝试将环境变量作为命令执行。攻击者可以通过控制环境变量来利用这一点,从而诱导pkexec 执行任意代码。利用成功后,会导致本地特权升级,非特权用户获得管理员权限。


漏洞编号:

CVE-2021-4034


影响范围:

主流Linux版本均受影响


修复方案:

及时测试并升级到最新版本或升级版本


来源:360CERT 


2. McAfee Agent命令注入漏洞


漏洞介绍:

Mcafee McAfee Agent(MA)是美国迈克菲(Mcafee)公司的一套提供了ePolicy Orchestrator(杀毒软件管理平台)与被管理产品之间的安全通信的客户端组件。


漏洞危害:

McAfee Agent 存在安全漏洞,该漏洞源于允许本地用户注入任意shell代码到文件cleanup.exe。恶意clean.exe文件被放置到相关的文件夹中,并通过运行位于系统树中的McAfee Agent部署来执行。攻击者可利用该漏洞获取反向shell从而导致权限升级以获取根权限。


漏洞编号:

CVE-2021-31854


影响范围:

McAfee McAfee Agent for Windows <5.7.5


修复方案:

及时测试并升级到最新版本或升级版本


来源:CNVD


3.  Mattermost代码问题漏洞


漏洞介绍:

Mattermost是美国Mattermost公司的一个开源协作平台。


漏洞危害:

Mattermost Focalboard存在代码问题漏洞,该漏洞源于在 Mattermost Focalboard 中当用户启动注销时,他们的会话不会正确失效, 攻击者可利用改漏洞使用XSS攻击等技术窃取和重用cookie,以完全接管受害者帐户。


漏洞编号:

CVE-2022-22122


影响范围:

Mattermost Mattermost


修复建议:

及时测试并升级到最新版本或升级版本


来源:CNVD


4.PostgreSQL任意代码执行漏洞


漏洞介绍:

PostgreSQL是一款自由的对象-关系型数据库服务器(数据库管理系统),在灵活的BSD-风格许可证下发行。


漏洞危害:

PostgreSQL中的psql交互终端存在任意代码执行漏洞。如果交互式psql会话在查询服务器时使用gset,攻击者可利用该漏洞以运行psql的操作系统帐户权限执行任意代码。


漏洞编号:

CVE-2020-25696


影响范围:

The PostgreSQL Global Development Group PostgreSQL <12.5

The PostgreSQL Global Development Group PostgreSQL <13.1

The PostgreSQL Global Development Group PostgreSQL <11.10

The PostgreSQL Global Development Group PostgreSQL <10.15

The PostgreSQL Global Development Group PostgreSQL <9.6.20

The PostgreSQL Global Development Group PostgreSQL <9.5.24


修复建议:

及时测试并升级到最新版本


来源:CNVD



专注渗透测试技术

全球最新网络攻击技术


END

浏览 50
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报