首頁 > 新聞資訊 > 互聯網安全公告 > 詳情信息

2022年2月信息安全通告

發布時間:2022-05-26 17:34:43

新聞來源:貴州融創智云信息科技有限公司

信息安全通告

根據我司安服人員對國家信息安全漏洞庫(CNNVD)、國家信息安全漏洞共享平臺(CNVD)、國家互聯網應急中心(CNCERT)和重要安全廠商的預警信息統計分析,本月主要的信息安全情況如下:

重大漏洞預警:

  本月含14個超危漏洞:PJSIP 緩沖區錯誤漏洞、Reolink RLC-410W 輸入驗證錯誤漏洞 、Reolink RLC-410W 安全漏洞、WordPress SQL 注入漏洞、W-Zip 路徑遍歷漏洞、Cisco Small Business 授權問題漏洞、D-Link Di-7200G 命令注入漏洞 、D-Link Dir-823-Pro 命令注入漏洞、Emlog SQL注入漏洞、 Hutool 安全漏洞、radare2 資源管理錯誤漏洞、Apache Apisix遠程代碼執行漏洞、達夢數據庫管理系統命令執行漏洞、Tenda AC Series Router緩沖區溢出漏洞。

安全要聞:

近日,特拉維夫大學的研究人員發現三星手機的數據加密存在“嚴重”設計缺陷,可能讓攻擊者竊取三星手機的硬件加密密鑰,并提取三星智能手機中最敏感的數據。

更重要的是,網絡攻擊者甚至可以利用三星的加密漏洞——已分配三個CVE編號——來降級設備的安全協議。這將使三星手機更容易受到一種稱為IV(初始化向量)重用的攻擊。IV重用攻擊可破解加密隨機化,后者可確保相同明文的多條消息被加密后,生成的相應密文不同。

信任在黑暗中喪失:TrustZone的不可信實現

在由Alon Shakevsky、Eyal Ronen和Avishai Wool撰寫的題為“Trust Dies in Darkness:Shedding Light on Samsung’s TrustZone Keymaster Design”的論文中,學者們解釋說,如今,智能手機控制的數據包括敏感信息、圖像和文件;加密密鑰管理;FIDO2網絡認證;數字版權管理(DRM)數據;三星支付等移動支付服務數據;和企業身份管理。

據悉,作者將在即將于8月舉行的2022年USENIX安全研討會上詳細介紹這些漏洞。

TrustZone主密鑰的設計缺陷主要影響使用ARM架構的TrustZone技術的設備:基于ARM的Android智能手機(占大多數)為可信執行環境(TEE)提供硬件支持,以實現安全功能。

TrustZone將手機系統分為兩部分,正常世界(用于運行常規任務,例如Android操作系統)和安全世界,后者用于處理安全子系統和所有敏感資源。只有用于安全敏感功能(包括加密)的受信任應用程序才能訪問安全世界。

約翰霍普金斯信息安全研究所計算機科學副教授Matthew Green在Twitter上解釋說,三星TrustZone加密密鑰材料的方式存在“嚴重缺陷”,稱其“非常糟糕”。

“他們使用單一密鑰并允許IV重復使用。”Green說。

“所以他們可以為受保護的每個密鑰派生一個不同的包裝密鑰。”他繼續說道。“但三星沒有這么做,他們允許應用層代碼選擇加密IV。”這種設計決策導致可以被“簡單的解密”。

Sophos的首席研究科學家Paul Ducklin指責三星編碼人員犯下了“重大的密碼罪行”。也就是說,“他們沒能正確使用加密算法(AES-GCM)。”他周四通過電子郵件向Threatpost解釋道。

“簡單地說,AES-GCM需要為每次新的加密操作提供新鮮的隨機數,這不僅僅是一個‘不錯的’功能,而是一個強制性的算法要求,這是必須的,而不是應該的。”Ducklin強調說:“這種隨機性被稱為‘nonce’,是Number Used Once的縮寫——每個加密程序員應該將其視為*命令*,而不僅僅是一個名詞。”

Ducklin解釋說,不幸的是,三星所謂的安全加密代碼并沒有強制執行該要求。“事實上,它允許在安全加密硬件組件之外運行的應用程序不僅影響其中使用的隨機數,甚至可以準確、惡意地選擇這些隨機數,并按照應用程序的創建者想要的頻率重復它們。”

通過利用這個漏洞,研究人員能夠完成一項“被認為是不可能的,或者盡可能接近不可能”的任務:從安全硬件中提取加密信息。

缺陷使安全標準繞過

這些安全漏洞不僅允許網絡犯罪分子能夠竊取存儲在三星設備上的加密密鑰,還能讓攻擊者繞過安全標準,例如FIDO2。

據The Register報道,截至2021年5月,研究人員向三星披露這些漏洞時,已有近1億部三星Galaxy手機受到威脅。

三星通過發布針對受影響設備的補丁來回應學者的披露,該補丁解決了CVE-2021-25444:在TrustZone中運行的Keymaster可信應用程序(TA)中的IV重用漏洞。Keymaster TA通過硬件(包括加密引擎)在安全世界中執行加密操作。Keymaster TA使用blob,一種通過AES-GCM“包裝”(加密)的密鑰。該漏洞允許解密自定義密鑰blob。

然后,在2021年7月,研究人員披露了一種降級攻擊——一種允許攻擊者通過特權進程觸發IV重用漏洞的攻擊。三星發布了另一個補丁——CVE-2021-25490,從包括三星Galaxy S10、S20和S21手機在內的設備中移除舊的blob實現。


(一)本月高危漏洞情況

表1 高危漏洞情況表

序號

漏洞名稱

漏洞編號

危害等級

解決方案

1

PJSIP 緩沖區錯誤漏洞

CNNVD-202201-2496

超危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://github.com/pjsip/pjproject/security/advisories/GHSA-7fw8-54cv-r7pm 

2

Reolink RLC-410W 輸入驗證錯誤漏洞

CNNVD-202201-2494

超危

目前廠商已發布升級補丁以修復漏洞,詳情請關注廠商主頁:

https://reolink.com/us/product/rlc-410w/ 

3

Reolink RLC-410W 安全漏洞

CNNVD-202201-2487

超危

目前廠商已發布升級補丁以修復漏洞,詳情請關注廠商主頁:

https://reolink.com/us/product/rlc-410w/ 

4

WordPress
SQL 注入漏洞

CNNVD-202202-043

超危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://wpscan.com/vulnerability/c1620905-7c31-4e62-80f5-1d9635be11ad

5

W-Zip 路徑遍歷漏洞

CNNVD-202202-087

超危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://github.com/yuda-lyu/w-zip/commit/d7039d034e02fa358e6656565157cedf5fa83288 

6

Cisco Small Business 授權問題漏洞

CNNVD-202202-176

超危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smb-mult-vuln-KA9PK6D

7

D-Link Di-7200G 命令注入漏洞

CNNVD-202202-279

超危

目前廠商已發布升級補丁以修復漏洞,詳情請關注廠商主頁:

https://www.dlink.com/en/security-bulletin 

8

D-Link Dir-823-Pro 命令注入漏洞

CNNVD-202202-287

超危

目前廠商已發布升級補丁以修復漏洞,詳情請關注廠商主頁:

https://www.dlink.com/en/security-bulletin 

9

Emlog SQL注入漏洞

CNNVD-202202-389

超危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://github.com/emlog/emlog/issues/144 

10

Hutool 安全漏洞

CNNVD-202202-1371

超危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://github.com/dromara/hutool/issues/2042 

11

radare2 資源管理錯誤漏洞

CNNVD-202202-1323

超危

目前廠商暫未發布修復措施解決此安全問題,建議使用此軟件的用戶隨時關注廠商主頁或參考網址以獲取解決辦法:

https://github.com/radareorg/radare2/commit/b5cb90b28ec71fda3504da04e3cc94a362807f5e 

12

Apache Apisix遠程代碼執行漏洞

CNVD-2022-12799

超危

廠商已發布了漏洞修復程序,請及時關注更新:
https://lists.apache.org/thread/lcdqywz8zy94mdysk7p3gfdgn51jmt94

13

達夢數據庫管理系統命令執行漏洞

CNVD-2022-10797

超危

廠商已提供漏洞修補方案,請關注廠商主頁及時更新:
https://logging.apache.org/log4j/2.x/download.html

14

Tenda AC Series Router緩沖區溢出漏洞

CNVD-2022-15163

超危

廠商已發布了漏洞修復程序,請及時關注更新:
https://github.com/Ainevsia/CVE-Request/tree/main/Tenda/11

15

Apache ShenYu 授權問題漏洞

CNNVD-202201-2330

高危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://lists.apache.org/thread/q2gg6ny6lpkph7nkrvjzqdvqpm805v8s 

16

Linux kernel 安全漏洞

CNNVD-202201-2590

高危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://bugzilla.redhat.com/show_bug.cgi?id=2044809 

17

Mozilla Firefox 安全漏洞

CNNVD-202202-590

高危

目前廠商已發布升級補丁以修復漏洞,詳情請關注廠商主頁:

https://vigilance.fr/vulnerability/Firefox-multiple-vulnerabilities-37482

18

Adobe Photoshop 緩沖區錯誤漏洞

CNNVD-202202-662

高危

目前廠商已發布升級補丁以修復漏洞,詳情請關注廠商主頁:

http://helpx.adobe.com/security/products/photoshop/apsb22-08.html 

19

Linux kernel 安全漏洞

CNNVD-202202-927

高危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://access.redhat.com/security/cve/cve-2022-0435 

20

向日葵個人版for Windows命令執行漏洞

CNVD-2022-10270

高危

廠商已發布了漏洞修復程序,請及時關注更新:
https://sunlogin.oray.com/

21

Apache Airflow 操作系統命令注入漏洞

CNNVD-202202-1940

高危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

http://seclists.org/oss-sec/2022/q1/160 

 

(二)高危漏洞修復建議

本月漏洞及危害影響主要為:

PJSIP 緩沖區錯誤漏洞(CNNVD-202201-2496)

PJSIP是一個免費和開源的多媒體通信庫,用C語言編寫,實現基于標準的協議,如SIP, SDP, RTP, STUN, TURN,和ICE。

PJSIP 2.11.1及之前版本存在緩沖區錯誤漏洞,解析包含格式錯誤的多部分的傳入SIP消息可能會導致越界讀取訪問。此問題影響所有接受SIP multipart的PJSIP用戶。 

Reolink RLC-410W 輸入驗證錯誤漏洞(CNNVD-202201-2494)

Reolink Rlc-410W是中國Reolink公司的一款 Wifi 安全攝像頭。

Reolink RLC-410W v3.0.0.136_20121102 的netserver parse_command_list 存在輸入驗證錯誤漏洞,一個特別制作的HTTP請求可能導致越界寫。攻擊者可以通過發送HTTP請求來觸發該漏洞。

Reolink RLC-410W 安全漏洞(CNNVD-202201-2487)

Reolink Rlc-410W是中國Reolink公司的一款 Wifi 安全攝像頭。

Reolink RLC-410W v3.0.0.136_20121102 版本的TestEmail存在安全漏洞,特殊設計的網絡請求可能導致越界寫操作。攻擊者可以通過發送HTTP請求來觸發該漏洞。 

l WordPress SQL 注入漏洞(CNNVD-202202-043)

WordPress 是 WordPress(Wordpress)基金會的一套使用 PHP語言開發的博客平臺。該平臺支持在 PHP 和 MySQL 的服務器上架設個人博客網站。
Perfect Survey WordPress plugin 1.5.2 之前版本存在 SQL 注入漏洞,該漏洞源于程序缺少對外部輸入的 SQL 語句進行驗證,攻擊者可利用該漏洞執行惡意 SQL 命令。

W-Zip 路徑遍歷漏洞(CNNVD-202202-087)

W-Zip是一個 Zip 和 7Z 壓縮工具。

w-zip 存在路徑遍歷漏洞,該漏洞源于1.0.12之前NPM w-zip中的路徑遍歷。

Cisco Small Business 授權問題漏洞(CNNVD-202202-176)

Cisco Small Business是美國思科(Cisco)公司的一個交換機。

Cisco Small Business RV Series Routers 存在授權問題漏洞,該漏洞源于授權執行機制不足造成的。攻擊者可以通過向受影響的設備提交特定命令來利用這些漏洞。成功的利用可能允許攻擊者將權限提升為root并在受影響的系統上執行任意命令。

D-Link Di-7200G 命令注入漏洞 (CNNVD-202202-279)

D-Link Di-7200G是中國友訊(D-Link)公司的一款千兆企業級路由器。

D-Link device DI-7200G V2.E1 v21.04.09E1 存在命令注入漏洞,該漏洞允許攻擊者通過path參數執行任意命令。

D-Link Dir-823-Pro 命令注入漏洞(CNNVD-202202-287)

D-Link Dir-823-Pro是中國友訊D-Link)公司的一款雙頻智能無線路由器。

D-Link DIR-823-Pro v1.0.2 存在命令注入漏洞,該漏洞允許攻擊者通過samba name參數執行任意命令。 

Emlog SQL注入漏洞 (CNNVD-202202-389)

Emlog是Emlog個人開發者的一套基于PHP和MySQL的CMS建站系統。

Emlog 存在SQL注入漏洞,該漏洞源于通過 getblogidsfromtagid() 的 $TagID 參數發現 Emlog v6.0 包含 SQL 注入漏洞。 

Hutool 安全漏洞(CNNVD-202202-1371)

Hutool是中國Dromara社區的一個小而全的 Java 工具類庫。

Hutool 存在安全漏洞,該漏洞源于 Hutool v5.7.18 的 HttpRequest 被發現忽略所有 TLS/SSL 證書驗證。

radare2 資源管理錯誤漏洞(CNNVD-202202-1323)

radare2是一套用于處理二進制文件的庫和工具。

radare2 存在資源管理錯誤漏洞,該漏洞源于網絡系統或產品對系統資源(如內存、磁盤空間、文件等)的管理不當。

Apache Apisix遠程代碼執行漏洞(CNVD-2022-12799)

Apache Apisix是美國阿帕奇(Apache)基金會的一個云原生的微服務API網關服務。該軟件基于 OpenResty 和 etcd 來實現,具備動態路由和插件熱加載,適合微服務體系下的 API 管理。
Apache APISIX中存在遠程代碼執行漏洞,該漏洞源于產品的batch-requests插件未對用戶的批處理請求進行有效限制。攻擊者可通過該漏洞繞過Admin API的IP限制,容易導致遠程代碼執行。

達夢數據庫管理系統命令執行漏洞(CNVD-2022-10797)

達夢數據庫管理系統是達夢公司推出的具有完全自主知識產權的高性能數據庫管理系統,簡稱DM。
達夢數據庫管理系統存在命令執行漏洞,攻擊者可利用該漏洞獲取服務器控制權。

Tenda AC Series Router緩沖區溢出漏洞(CNVD-2022-15163)

Tenda AC11是中國騰達(Tenda)公司的一款路由器。
Tenda AC Series Router AC11_V02.03.01.104_CN的wifiTime模塊存在緩沖區溢出漏洞,攻擊者可利用該漏洞通過特制的溢出數據導致拒絕服務。

Apache ShenYu 授權問題漏洞(CNNVD-202201-2330)

Apache ShenYu是美國阿帕奇(Apache)基金會的一個異步的,高性能的,跨語言的,響應式的 API 網關。

Apache ShenYu 2.4.0 and 2.4.1存在授權問題漏洞,該漏洞源于通過 HTTP 注冊時,ShenYu Admin 缺少身份驗證。

Linux kernel 安全漏洞(CNNVD-202201-2590)

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。

Linux kernel 存在安全漏洞,該漏洞允許具有用戶權限的本地攻擊者導致權限提升問題。 

Mozilla Firefox 安全漏洞(CNNVD-202202-590)

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。

Firefox 存在安全漏洞,該漏洞源于維護(更新器)服務中的競態條件而存在的。攻擊者可利用該漏洞對系統上任意目錄的寫訪問權限,并使用system權限執行任意代碼。

Adobe Photoshop 緩沖區錯誤漏洞(CNNVD-202202-662)

Adobe Photoshop是美國奧多比(Adobe)公司的一套圖片處理軟件。該軟件主要用于處理圖片。

Adobe Photoshop 中存在緩沖區錯誤漏洞,該漏洞源于產品未能正確判斷內存邊界。遠程攻擊者可利用該漏洞可以創建一個特別制作的Photoshop文件,欺騙受害者打開它,觸發內存損壞,并在目標系統上執行任意代碼。

Linux kernel 安全漏洞(CNNVD-202202-927)

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。

Linux kernel存在安全漏洞,該漏洞源于在 Linux 內核的 TIPC 協議功能中發現了堆棧溢出缺陷,用戶發送帶有惡意內容的數據包,其中域成員節點的數量高于允許的 64 個。如果遠程用戶有權訪問 TIPC 網絡,此漏洞允許遠程用戶使系統崩潰或可能提升他們的權限。

向日葵個人版for Windows命令執行漏洞(CNVD-2022-10270)

向日葵是一款免費的,集遠程控制電腦手機、遠程桌面連接、遠程開機、遠程管理、支持內網穿透的一體化遠程控制管理工具軟件。
上海貝銳信息科技股份有限公司向日葵個人版for Windows存在命令執行漏洞,攻擊者可利用該漏洞獲取服務器控制權。
 

Apache Airflow 操作系統命令注入漏洞(CNNVD-202202-1940)

Apache Airflow是美國阿帕奇(Apache)基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。

Apache Airflow 存在操作系統命令注入漏洞,該漏洞的存在是由于某些示例dag中不正確的輸入驗證。遠程未經身份驗證的攻擊者可利用該漏洞可以傳遞專門制作的HTTP請求,并在目標系統上執行任意操作系統命令。該漏洞允許遠程攻擊者可利用該漏洞在目標系統上執行任意shell命令。 

修復建議

 以上漏洞廠家均已發布漏洞補丁鏈接,詳情請關注廠家主頁查看最新消息。