雷神众测漏洞周报2021.03.29-2021.04.05-4

1.Apache Druid 远程代码执行漏洞

漏洞介绍：

2021年3月30日，安恒应急响应中心监测到Apache Druid官方发布安全更新，修复了一个特定条件下的远程代码执行漏洞（CVE-2021-26919）

漏洞危害：

攻击者可搭建恶意MySQL服务器，利用该漏洞在目标服务器执行代码，可导致服务器被控制。

漏洞编号：

CVE-2021-26919

影响范围：

Apache Druid < 0.20.2

修复方案：

高危：目前漏洞利用代码暂未公开，但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码，因Apache Druid 默认情况下缺乏身份认证，攻击者可直接利用该漏洞执行恶意代码控制目标服务器，建议及部署了Apache Druid的用户尽快排查是否受影响。

处置措施：

1、升级Apache Druid至安全版本

2、为Apache Druid配置身份认证

3、如果没有互联网访问需求，建议通过网络策略限制避免Apache Druid暴露在互联网

来源: 安恒应急响应中心  

2. VMware vRealize Operations Manager高危漏洞

漏洞介绍：

2021年3月30日，VMware官方更新发布安全公告，公告披露了vRealize Operations Manager API的一处服务端请求伪造漏洞和一处任意文件写入漏洞，对应CVE编号分别为：CVE-2021-21975、CVE-2021-21983。

漏洞危害：

漏洞存在于vRealize Operations Manager API中，攻击者可结合两个漏洞构造恶意请求在目标服务器上执行任意代码，进而可导致服务器被入侵。

漏洞编号：

CVE-2021-21975

CVE-2021-21983

影响范围：

vRealize Operations Manager 8.3.0

vRealize Operations Manager 8.2.0

vRealize Operations Manager 8.1.1

vRealize Operations Manager 8.1.0

vRealize Operations Manager 8.0.1

vRealize Operations Manager 8.0.0

vRealize Operations Manager 7.5.0

VMware Cloud Foundation 4.x

VMware Cloud Foundation 3.x

vRealize Suite Lifecycle Manager 8.x

修复建议：

及时测试并升级到最新版本或升级版本

来源：安恒应急响应中心

3. Gitlab 多处高危漏洞

漏洞介绍：

Gitlab是一款基于Git 的完全集成的软件开发平台，且具有wiki以及在线编辑、issue跟踪功能、CI/CD 等功能。

漏洞危害：

2021年3月31日Gitlab官方发布安全更新，修复了多处高危漏洞，其中包括 Project Import 任意文件读取漏洞和Wiki page 任意文件读取漏洞等。

影响范围：

Gitlab CE/EE < 13.8.7

Gitlab CE/EE < 13.9.5

Gitlab CE/EE < 13.10.1

修复建议：

及时测试并升级到最新版本或升级版本

来源：阿里云应急响应