雷神众测漏洞周报2021.12.13-2021.12.19-4
声明
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.Apache Log4j 2多个漏洞
2.Google Chrome 代码执行漏洞
3.FastAdmin存在文件上传漏洞
4.Google Chrome Swiftshader代码执行漏洞
漏洞详情
1. Apache Log4j 2多个漏洞
漏洞介绍:
Apache Log4j 2是一个基于Java的日志记录工具,是对 Log4j 的升级。
漏洞危害:
CVE-2021-44228:Apache Log4j 2存在远程代码执行漏洞,攻击者可以通过构造恶意数据植入进日志记录中时即可导致任意代码执行。官方针对该漏洞发布了log4j-2.15.0-rc2版本进行修复。
CVE-2021-45046:Apache Log4j 2 在线程上下文消息模式和上下文查找模式容易受到拒绝服务攻击,攻击者可构造恶意请求触发该缺陷,从而引发业务中断。
CVE-2021-4104:Apache Log4j 1.x版本在特定配置时存在JMSAppender反序列化代码执行漏洞,当攻击者具有修改 Log4j 配置的权限时,JMSAppender容易受到不可信数据的反序列化,攻击者可以使用特定配置利用JMSAppender执行JNDI请求,从而造成远程代码执行。
漏洞编号:
CVE-2021-44228
CVE-2021-45046
CVE-2021-4104
影响范围:
CVE-2021-44228影响范围:
从 2.0-beta9 到 2.12.1 和 2.13.0 到 2.14.1 的所有版本
CVE-2021-45046影响范围:
Apache Log4j2 2.0-beta9到2.12.1和2.13.0到2.15.0的所有版本均受影响(包括2.15.0-rc1及2.15.0-rc2)
CVE-2021-4104影响范围:
Log4j 1.x
修复方案:
及时测试并升级到最新版本
来源:安恒信息应急响应中心
2. Google Chrome 代码执行漏洞
漏洞介绍:
Google Chrome是由Google开发的一款设计简单、高效的Web浏览工具,特点是简洁、快速。
漏洞危害:
Chrome V8 JavaScript 引擎中存在一个UAF(Use-After-Free)漏洞,此类漏洞主要与操作过程中对动态内存的错误使用有关。若在释放内存位置后,程序没有清除指向这里的指针,攻击者便可利用这一 漏洞来入侵该程序,然后执行任意代码或逃脱浏览器安全沙箱的控制。
漏洞编号:
CVE-2021-4102
影响范围:
Google Chrome < 96.0.4664.110
修复方案:
及时测试并升级到最新版本
来源:360CERT
3. FastAdmin存在文件上传漏洞
漏洞介绍:
FastAdmin是一款基于ThinkPHP和Bootstrap的极速后台开发框架。
漏洞危害:
FastAdmin存在文件上传漏洞。攻击者可利用该漏洞获取服务器权限。
影响范围:
深圳极速创想科技有限公司 FastAdmin V1.2.1.20210730_beta
修复建议:
及时测试并升级到最新版本或升级版本
来源:CNVD
4. Google Chrome Swiftshader代码执行漏洞
漏洞介绍:
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
漏洞危害:
Google Chrome Swiftshader存在代码执行漏洞,远程攻击者可以利用此漏洞在系统上执行任意代码或造成拒绝服务情况。
漏洞编号:
CVE-2021-4099
影响范围:
Google Chrome <96.0.4664.110
修复建议:
及时测试并升级到最新版本
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术