所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯云安全情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯云安全情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。 以下是2024年11月份必修安全漏洞清单:
漏洞介绍及修复建议详见后文
腾讯云安全近期监测到Palo Alto Networks官方发布了关于PAN-OS Management Web Interface的风险公告,漏洞编号:TVD-2024-32377 (CVE编号:CVE-2024-0012,CNNVD编号:CNNVD-202411-2328)。成功利用此漏洞的攻击者,最终可绕过权限验证,配合其他漏洞(如CVE-2024-9474)可远程执行任意代码。
PAN-OS是Palo Alto Networks防火墙设备的核心操作系统,采用模块化设计,提供灵活性和可扩展性。它支持多虚拟化、实时更新和高可用性,确保网络流量的安全检查和过滤。PAN-OS Management Web Interface 是用于管理Palo Alto Networks防火墙设备的核心界面,它提供了直观的图形化界面,使网络管理员能够轻松配置防火墙策略、监控网络流量、管理用户权限等。
据描述,该漏洞源于PAN-OS Management Web Interface中的权限校验存在代码缺陷,攻击者可以通过将请求头中的X-PAN-AUTHCHECK设置为off绕过权限校验访问受限端点,并配合其他漏洞最终远程执行任意代码。
风险等级:
影响版本:
10.2.0 <= PAN OS < 10.2.12-h2
11.0.0 <= PAN OS < 11.0.6-h1
11.1.0 <= PAN OS < 11.1.5-h1
11.2.0 <= PAN OS < 11.2.4-h1
修复建议:
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.paloaltonetworks.com/network-security/pan-os
2. 临时缓解方案:
https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431
腾讯云安全近期监测到Ivanti官方发布了关于Endpoint Manager的风险公告,漏洞编号为TVD-2024-31477 (CVE编号:CVE-2024-50330,CNNVD编号:CNNVD-202411-1381)。成功利用此漏洞的攻击者,可获取服务器上的敏感数据,最终远程执行任意代码。
Ivanti Endpoint Manager(EPM)是一款企业级的设备管理解决方案,它提供统一端点管理功能,适用于管理Windows、macOS、iOS、Android、Linux和Chrome OS等多种操作系统。该解决方案通过单一控制平台,实现设备的发现、配置、保护和策略执行,从而简化IT管理流程,提高工作效率。
据描述,该漏洞源于Ivanti Endpoint Manager存在代码缺陷,未授权的攻击者可通过此漏洞触发SQL注入,最终获取服务器数据甚至远程执行代码。
漏洞状态:
风险等级:
影响版本:
Ivanti Endpoint Manager 2024 <= 2024 September Security Update
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://forums.ivanti.com/s/article/Security-Advisory-EPM-November-2024-for-EPM-2024-and-EPM-2022
2. 临时缓解方案:
- 如无必要,避免开放至公网。
- 利用安全组设置仅对可信地址开放。
腾讯云安全近期监测到Apache官方发布了关于OFBiz的风险公告,漏洞编号为TVD-2024-32319 (CVE编号:CVE-2024-47208,CNNVD编号:CNNVD-202411-2279)。成功利用此漏洞的攻击者,最终可以远程执行任意代码。
Apache OFBiz是一款开源的企业资源规划(ERP)系统,它基于Java技术构建,提供了一整套灵活的业务应用程序框架,适用于各种规模的企业。OFBiz的核心功能包括会计、CRM、订单管理、电子商务、仓储和库存管理、制造和物料需求计划(MRP)等,旨在通过集成多种业务管理工具来简化企业的日常运营。
据描述,该漏洞源于OFBiz存在代码缺陷,攻击者可以通过发送特制的请求触发Groovy表达式注入,最终远程执行任意代码。
漏洞状态:
风险等级:
影响版本:
Apache OFBiz < 18.12.17
修复建议:
https://ofbiz.apache.org/download.html
概述:
腾讯云安全近期监测到GitLab官方发布了关于GitLab的风险公告,漏洞编号为TVD-2024-33673 (CVE编号:CVE-2024-8114,CNNVD编号:CNNVD-202411-3656),拥有低权限的攻击者,可以利用该漏洞执行更高权限的操作。
GitLab是一个基于Web的开源DevOps平台,提供代码托管、版本控制、持续集成/持续部署(CI/CD)、项目管理等功能。它支持多用户协作,便于代码版本控制,并内置了CI/CD功能,可以自动化构建、测试和部署流程,提高开发效率。GitLab适用于各种规模的团队,从小型开源项目到大型企业级应用开发,其全面功能使其成为DevOps实践的重要工具。
据描述,该漏洞源于GitLab对LFS令牌的处理存在缺陷,攻击者可以利用个人访问令牌(PAT)来获取LFS令牌,进而以该用户的身份执行未经授权的操作,比如读取或修改存储在LFS中的敏感文件等。
8.12.0 <= GitLab EE/CE < 17.4.5
17.5.0 <= GitLab EE/CE < 17.5.3
17.6.0 <= GitLab EE/CE < 17.6.1
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
https://about.gitlab.com/update
利用安全组设置仅对可信地址开放。
概述:
腾讯云安全近期监测到Zabbix官方发布了关于Zabbix的风险公告,漏洞编号为TVD-2024-33712 (CVE编号:CVE-2024-42327,CNNVD编号:CNNVD-202411-3698),成功利用此漏洞的攻击者,最终可获取服务器上的敏感数据。
Zabbix是一款功能强大的开源监控软件,广泛应用于企业级IT环境,用于实时监控服务器、网络设备、应用程序等的性能和健康状况。它支持多种监控方式,包括SNMP、JMX、IPMI、SSH等,并提供灵活的通知机制,如邮件、短信等,以便及时发现和解决问题。Zabbix的高可用性、可扩展性和丰富的数据可视化功能使其成为运维人员的得力助手,能够有效提升系统的稳定性和可用性。
据描述,该漏洞源于Zabbix CUser类中的addRelatedObjects函数存在SQL注入漏洞,具有API访问权限的攻击者可通过API调用该函数执行SQL语句,最终获取数据库中的敏感数据。
漏洞状态:
风险等级:
影响版本:
6.0.0 <= Zabbix <= 6.0.31
6.4.0 <= Zabbix <= 6.4.16
Zabbix 7.0.0
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.zabbix.com/download
2. 临时缓解方案:
- 如无必要,避免暴露至公网。
- 利用安全组设置仅对可信地址开放。
概述:
腾讯云安全近期监测到关于7-Zip的风险公告,漏洞编号为 TVD-2024-33198 (CVE编号:CVE-2024-11477,CNNVD编号:CNNVD-202411-3145)。成功利用此漏洞的攻击者,最终可远程执行代码。
7-Zip是一款免费开源的文件压缩和解压缩软件,以其高压缩比和多格式支持著称。它支持包括7z、ZIP、RAR、CAB、GZIP、BZIP2等多种格式,尤其以其7z格式提供高效的压缩效果。7-Zip的界面简洁,操作直观,适合各种用户,并且可以在Windows、Linux和macOS等多个平台上使用。
据描述,该漏洞源于7-Zip在使用Zstandard算法解压缩的过程中对用户提供的数据验证不当,可能导致整数下溢并在写入内存前执行代码。攻击者可以通过发送特制的压缩包诱导受害者解压触发该漏洞,最终远程执行代码。
漏洞状态:
风险等级:
7-Zip < 24.07
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://7-zip.org/download.html
概述:
腾讯云安全近期监测到PostgreSQL官方发布了关于PostgreSQL的风险公告,漏洞编号为TVD-2024-31960 (CVE编号:CVE-2024-10979,CNNVD编号:CNNVD-202411-1889)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
PostgreSQL是一款功能强大、开源的关系型数据库管理系统,它以其稳定性、扩展性、对SQL标准的良好支持以及丰富的数据类型和高级功能而闻名。PostgreSQL支持事务处理、并发控制、存储过程和复杂查询,遵循ACID原则,适用于各种规模的应用,从小型单机应用到大型企业级分布式系统。
据描述,该漏洞源于PostgreSQL中的PL/Perl扩展对环境变量控制不当,允许非特权数据库用户更改敏感的进程环境变量(例如PATH),攻击者可以利用该漏洞远程执行任意代码。
漏洞状态:
风险等级:
影响版本:
12.0 <= PostgreSQL < 12.21
13.0 <= PostgreSQL < 13.17
14.0 <= PostgreSQL < 14.14
15.0 <= PostgreSQL < 15.9
16.0 <= PostgreSQL < 16.5
17.0 <= PostgreSQL < 17.1
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.postgresql.org/download/
2. 临时缓解方案:
- 如无必要,不启用PL/Perl扩展。
- 设置只允许特权用户安装和配置扩展。
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯云安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。