网络安全漏洞威胁通告（2023年10月）

发布时间：2023-10-07浏览次数：649

根据多个官方平台发布的安全公告，披露了互联网相关产品的安全漏洞情况，其中涉及应用程序、web应用、数据库、操作系统、安全设备等多个方面。目前官方已发布相关漏洞的补丁或修复措施，请使用相关该产品的用户尽快自查，修复相关威胁漏洞，提高安全防护水平。

Oracle MySQL Server拒绝服务漏洞

CNVD-ID	CNVD-2023-67110
公开日期	2023-09-07
危害级别	高
影响产品	Oracle MySQL Server <=8.0.31
CVE-ID	CVE-2023-21868
漏洞描述	Oracle MySQL Server存在拒绝服务漏洞，攻击者可利用该漏洞导致未经授权的MySQL Server挂起或频繁重复崩溃。
漏洞类型	通用型漏洞
参考链接	https://www.oracle.com/security-alerts/cpujan2023.html
漏洞解决方案	厂商已发布了漏洞修复程序，请及时关注更新： https://www.oracle.com/security-alerts/cpujan2023.html
厂商补丁	https://www.oracle.com/security-alerts/cpujan2023.html
验证信息	(暂无验证信息)

Oracle Database Server存在未明漏洞

CNVD-ID	CNVD-2023-71323
公开日期	2023-09-22
危害级别	高
影响产品	Oracle Oracle Database Server 19c Oracle Database Server 21c
CVE ID	CVE-2023-21829
漏洞描述	Oracle Database Server是美国甲骨文（Oracle）公司的一套关系数据库管理系统。该数据库管理系统提供数据管理、分布式处理等功能。 Oracle Database Server存在安全漏洞，攻击者可利用该漏洞导致对关键数据或所有Oracle数据库RDBMS 安全可访问数据的未授权创建、删除或修改访问。
漏洞类型	通用型漏洞
参考链接	https://www.oracle.com/security-alerts/cpujan2023.html
漏洞解决方案	厂商已发布了漏洞修复程序，请及时关注更新： https://www.oracle.com/security-alerts/cpujan2028.html
厂商补丁	https://www.oracle.com/security-alerts/cpujan2028.html
验证信息	(暂无验证信息)

Oracle Database Server存在未明漏洞

CNVD-ID	CNVD-2023-71321
公开日期	2023-09-22
危害级别	中
影响产品	Oracle Oracle Database Server 19c Oracle Database Server 21c
CVE ID	厂商已发布了漏洞修复程序，请及时关注更新： https://www.oracle.com/security-alerts/cpuapr2023.html
漏洞描述	Oracle Database Server 19c版本、21c版本存在安全漏洞。攻击者利用该漏洞访问关键数据，获得对所有Java VM数据的创建、删除或修改权限。
漏洞类型	通用型漏洞
参考链接	https://www.oracle.com/security-alerts/cpuapr2023.html
漏洞解决方案	厂商已发布了漏洞修复程序，请及时关注更新： https://www.oracle.com/security-alerts/cpuapr2023.html
厂商补丁	https://www.oracle.com/security-alerts/cpuapr2023.html
验证信息	(暂无验证信息)

Apache Flink代码注入漏洞

CNVD-ID	CNVD-2023-72234
公开日期	2023-09-26
危害级别	中
影响产品	Apache flink stateful functions >=3.1.0，<=3.2.0
CVE ID	CVE-2023-41834
漏洞描述	Apache Flink Stateful Functions存在代码注入漏洞，该漏洞源于HTTP标头中CRLF序列的不正确中和，攻击者可利用该漏洞注入恶意内容发送到用户浏览器的HTTP响应中。
漏洞类型	通用型漏洞
参考链接	https://nvd.nist.gov/vuln/detail/CVE-2023-41834
漏洞解决方案	厂商已发布了漏洞修复程序，请及时关注更新： https://lists.apache.org/thread/cvxcsdyjqc3lysj1tz7s06zwm36zvwrm
厂商补丁	https://lists.apache.org/thread/cvxcsdyjqc3lysj1tz7s06zwm36zvwrm
验证信息	(暂无验证信息)

Apache InLong反序列化漏洞

CNVD-ID	CNVD-2023-70280
公开日期	2023-09-14
危害级别	高
影响产品	Apache Apache InLong >=1.4.0，<=1.7.0
CVE ID	CVE-2023-34434
漏洞描述	Apache InLong 1.4.0版本至1.7.0版本存在反序列化漏洞，该漏洞源于应用程序在接收用户提交的序列化数据的不安全反序列化处理，攻击者可利用该漏洞绕过当前逻辑读取任意文件。
漏洞类型	通用型漏洞
参考链接	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-34434
漏洞解决方案	厂商已发布了漏洞修复程序，请及时关注更新： https://lists.apache.org/thread/os7b66x4n8dbtrdpb7c6x37bb1vjb0tk
厂商补丁	https://lists.apache.org/thread/os7b66x4n8dbtrdpb7c6x37bb1vjb0tk
验证信息	(暂无验证信息)

Apache Spark命令注入漏洞

CNVD-ID	CNVD-2023-71729
公开日期	2023-09-14
危害级别	高
影响产品	Apache Spark <=3.0.3 Apache Spark >=3.1.1，<=3.1.3 Apache Spark >=3.2.0，<=3.2.1
CVE ID	CVE-2023-32007
漏洞描述	Apache Spark存在命令注入漏洞，该漏洞源于如果ACL启用后，HttpSecurityFilter中的代码路径可以允许通过提供任意用户名来执行模拟，这将导致任意shell命令执行。目前没有详细的漏洞细节提供。
漏洞类型	通用型漏洞
参考链接	https://spark.apache.org/security.html https://lists.apache.org/thread/poxgnxhhnzz735kr1wos366l5vdbb0nv https://www.cve.org/CVERecord?id=CVE-2022-33891 http://www.openwall.com/lists/oss-security/2023/05/02/1 https://cxsecurity.com/cveshow/CVE-2023-32007/
漏洞解决方案	目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页： https://lists.apache.org/thread/poxgnxhhnzz735kr1wos366l5vdbb0nv
厂商补丁	https://lists.apache.org/thread/poxgnxhhnzz735kr1wos366l5vdbb0nv
验证信息	(暂无验证信息)

Vim输入验证错误漏洞

CNVD-ID	CNVD-2023-70066
公开日期	2023-09-14
危害级别	高
影响产品	Vim Vim <9.0.1846
CVE ID	CVE-2023-4734
漏洞描述	Vim是一款跨平台的文本编辑器。 Vim 9.0.1846之前版本存在输入验证错误漏洞，该漏洞源于存在整数溢出或环绕问题。远程攻击者可利用该漏洞通过发送恶意的HTTP或HTTPS请求，以root用户权限执行任意的shell命令。
漏洞类型	通用型漏洞
参考链接	https://nvd.nist.gov/vuln/detail/CVE-2023-4734
漏洞解决方案	厂商已发布了漏洞修复程序，请及时关注更新： https://huntr.dev/bounties/688e4382-d2b6-439a-a54e-484780f82217
厂商补丁	https://huntr.dev/bounties/688e4382-d2b6-439a-a54e-484780f82217
验证信息	(暂无验证信息)

Oracle WebLogic Server反序列化漏洞

CNVD-ID	CNVD-2023-70073
公开日期	2023-09-08
危害级别	高
影响产品	Oracle WebLogic Server <=0.2.3
CVE ID	CVE-2023-40571
漏洞描述	Oracle WebLogic Server是美国甲骨文（Oracle）公司的一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。 Oracle WebLogic Server 0.2.3及之前版本存在反序列化漏洞，该漏洞源于未能对返回的数据包进行验证，攻击者可利用该漏洞执行远程代码。
漏洞类型	通用型漏洞
参考链接	https://nvd.nist.gov/vuln/detail/CVE-2023-40571
漏洞解决方案	厂商已发布了漏洞修复程序，请及时关注更新： https://github.com/dream0x01/weblogic-framework/security/advisories/GHSA-hjwj-4f3q-44h3
厂商补丁	https://github.com/dream0x01/weblogic-framework/security/advisories/GHSA-hjwj-4f3q-44h3
验证信息	(暂无验证信息)

Linux kernel connection.c文件越界读取漏洞

CNVD-ID	CNVD-2023-72240
公开日期	2023-09-26
危害级别	高
影响产品	Linux Linux kernel <6.3.8
CVE-ID	CVE-2023-38431
漏洞描述	Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。 Linux kernel 6.3.8之前版本存在越界读取漏洞，该漏洞源于fs/smb/server/connection.c不会通过ksmbd_conn_handler_loop中的 pdu_size验证NetBIOS标头的长度字段和SMB标头大小之间的关系，攻击者可利用该漏洞导致越界读取。
漏洞类型	通用型漏洞
参考链接	https://nvd.nist.gov/vuln/detail/CVE-2023-38431
漏洞解决方案	厂商已发布了漏洞修复程序，请及时关注更新： https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/fs/smb/server?id=368ba06881c395f1c9a7ba22203cf8d78b4addc0
厂商补丁	https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/fs/smb/server?id=368ba06881c395f1c9a7ba22203cf8d78b4addc0
验证信息	已验证

Microsoft Exchange Server远程代码执行漏洞

CNVD-ID	CNVD-2023-72224
公开日期	2023-09-28
危害级别	高
影响产品	Microsoft Exchange Server 2019 Cumulative Update 12 Microsoft Exchange Server 2016 Cumulative Update 23 Microsoft Exchange Server 2019 Cumulative Update 13
CVE-ID	CVE-2023-36745
漏洞描述	Microsoft Exchange Server存在远程代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。
漏洞类型	通用型漏洞
参考链接	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36745
漏洞解决方案	用户可参考如下供应商提供的安全公告获得补丁信息： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2023-36745
厂商补丁	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2023-36745
验证信息	(暂无验证信息)