详细内容或原文请订阅后点击阅览
SolarWinds:Serv-U 和平台中的严重漏洞
要查看更多内容,请不要撰写非商业性文章。
来源:安全实验室新闻频道更新到最新版本,以避免成为网络强盗的另一个受害者。
专门从事 IT 基础设施管理软件开发的美国公司 SolarWinds 宣布发布安全更新,旨在消除其 Serv-U 产品以及 SolarWinds 平台中的多个关键漏洞。这些漏洞影响版本 2024.1 SR 1 及之前的版本。
其中一个漏洞编号为 CVE-2024-28996,由北约通信和信息局的渗透测试员 Nils Putnins 报告。该漏洞的 CVSS 评分为 7.5,涉及 SQL 的只读子集 SWQL,允许用户查询 SolarWinds 数据库以获取网络信息
CVE-2024-28996, CVSS根据已发布的咨询文件,该攻击的复杂性被评为“高”,这在一定程度上令人放心,限制了只有高技能的黑客才能使用该漏洞。
发布咨询文件,除了 CVE-2024-28996 之外,SolarWinds 专家还修复了其平台中的多个其他漏洞。因此,漏洞CVE-2024-28999 (CVSS 6.4)是竞争条件类型问题,而CVE-2024-29004 (CVSS 7.1)是Web控制台中的XSS漏洞。
CVE-2024-28999 CVE-2024-29004该公司还修复了第三方组件中的多个错误,包括 Angular (CVE-2021-4321)、公共 API 函数“BIO_new_NDEF”(CVE-2023-0215)、OpenSSL 中的 RSA 密钥生成算法 (CVE- 2018-0737)、OpenSSL 中 x86_64 的蒙哥马利平方过程 (CVE-2017-3736) 以及许多其他漏洞。
目前尚不清楚所有这些漏洞是否都被用于真正的攻击,但是为了避免找出困难的方法,建议尽快更新到 SolarWinds 2024.2,该版本解决了上述所有漏洞可能的。