抓緊修補!Discourse嚴重安全漏洞可致程式碼執行錯誤
週五,開發人員通過緊急更新修復了一個嚴重的Discourse遠端程式碼執行 (RCE) 漏洞,跟蹤為,CVE-2021-41163。該漏洞的CVSS v3得分為10.0。
Discourse 是一個流行的開源論壇和郵件列表管理軟體應用程式。提供出色的可用性和整合潛力,同時重點關注於社交功能。
易受攻擊的版本是2.7.8及更早版本,解決風險的最佳方法是更新到週五釋出的2.7.9或更高版本。最新的測試版和測試版也已針對該漏洞進行了修補。
根據官方統計,僅在2021年9月,Discourse就釋出了350萬條被4.05億使用者瀏覽的帖子。
由於Discourse的廣泛使用,CISA也釋出了一個關於這個缺陷的警告,敦促論壇管理員更新到最新的可用版本或者應用必要的變通方法。
該漏洞是通過向易受攻擊的軟體傳送惡意製作的請求來觸發的,利用了“subscribe-url”值中缺乏驗證的優勢。
使用使用者提供的輸入呼叫 `open()` 允許以Web應用程式執行的任何許可權呼叫作業系統命令,通常是“www-data”(admin)。
cve - 201 -41163漏洞的影響以及利用它(傳送未經身份驗證的POST)的容易程度會導致CVSS v3得分為10.0(嚴重),因此打補丁應被視為緊急情況。
Shodan搜尋返回了8641個Discourse部署,其中許多仍有可能暴露於RCE的開發潛力。不過,自週三以來,所有SaaS例項都已打了補丁。
任何不能更新到最新版本的人,建議在上游代理上用'/webhooks/aws'開頭的路徑阻止請求。
目前,該缺陷仍在進行技術分析,但發現它的研究人員已經發表了豐富的技術細節 。
在修復後的幾天內釋出過多的漏洞細節,只會給黑客提供如何利用漏洞的指南。
隨著網路攻擊事件愈發頻繁,安全已成為重點關注問題。尤其90%的網路安全事件與安全漏洞被利用有關,這就要求企業在做軟體開發時更要關注軟體安全問題,尤其在開發階段,使用靜態程式碼檢測工具可以及時發現程式碼缺陷及安全漏洞等易引起網路安全事故的問題,第一時間修正漏洞及缺陷不但有利於提高軟體自身安全性,也能為網路安全防禦做好重要補充工作。
建議企業除了安裝防護軟體之外,及時檢測、發現網路系統中的薄弱環節,並進行維護和修補,減小被黑客盯上的概率。同時,對於軟體開發企業,不應只關注在軟體開發的功能和效率,同時要將安全問題融入至開發週期當中,尤其經常被忽略的程式碼缺陷等問題。在 靜態程式碼安全檢測中,不但可以查詢、定位程式碼的缺陷問題,同時還能檢測出一些不需要執行即可發現的安全漏洞問題。
參讀連結:
https://www.bleepingcomputer.com/news/security/cisa-urges-admins-to-patch-critical-discourse-code-execution-bug/
https://securityaffairs.co/wordpress/123775/hacking/discourse-rce.html
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2839486/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 嚴重 PHP 漏洞導致伺服器遭受遠端程式碼執行PHP伺服器
- 新的嚴重安全漏洞影響CODESYS工業自動化軟體 或可導致遠端程式碼執行
- DBCC CheckDB-架構損壞。執行 DBCC CHECKCATALOG 嚴重錯誤。架構
- 準備換工作的,抓緊補補。。
- 全球發電廠面臨威脅-源自西門子嚴重的遠端執行程式碼錯誤行程
- win10執行ie錯誤程式碼inet_e_resource_not_found的修復方法Win10
- 谷歌修復Android嚴重遠端程式碼執行漏洞,無需使用者互動即可利用谷歌Android
- iOS 12.1.4更新修復嚴重安全漏洞 但又產生新問題iOS
- 記一個低階又嚴重的錯誤
- 執行錯誤集
- shell指令碼執行錯誤 $‘\r‘:command not found指令碼
- Acer和華碩電腦漏洞曝光,可導致任意程式碼執行
- 動態建立 @ViewChild 導致執行時錯誤的原因分析View
- 執行指令碼寫入中間表錯誤返回錯誤資訊指令碼
- LightDB/PostgreSQL 生成可重複執行的指令碼SQL指令碼
- 新的PHP高危漏洞可導致黑客執行遠端程式碼攻擊PHP黑客
- 檔案格式引起的指令碼執行錯誤指令碼
- WinRAR被曝存嚴重程式碼執行漏洞 19年影響5億使用者!
- 嚴重PHP漏洞使威聯通裝置面臨遠端程式碼執行風險PHP
- 流行 VPN 包含允許執行任意程式碼的安全漏洞
- PBOOTCMS網站程式提示“執行SQL發生錯誤!錯誤:DISK I/O ERROR”boot網站SQLError
- Windows 錯誤程式碼Windows
- MySQL 錯誤程式碼MySql
- Chrome瀏覽器爆高嚴重性安全漏洞Chrome瀏覽器
- sqlplus執行指令碼時遇到錯誤自動停止SQL指令碼
- 故障排除-丟包嚴重的抓包解決
- PbootCMS錯誤提示:執行SQL發生錯誤!錯誤:no such column: def1bootSQL
- 執行SQL發生錯誤!錯誤:disk I/O errorSQLError
- matlab程式碼轉exe可執行軟體Matlab
- 解決 PBootCMS 中因資料庫名稱錯誤導致的“執行 SQL 發生錯誤!錯誤:no such table: ay_config”問題boot資料庫SQL
- AdobeReader9.3.2釋出修補15個安全漏洞
- win100xc000142錯誤程式碼怎麼辦_win10出現錯誤程式碼0xc0000142如何修復Win10
- springboot整合Batis,執行報錯,資料庫連線密碼錯誤Spring BootBAT資料庫密碼
- MySQL:錯誤程式碼:2059MySql
- VS錯誤程式碼列
- PbootCMS執行SQL發生錯誤!錯誤:no such column: def1bootSQL
- PbootCMS 執行SQL發生錯誤!錯誤: no such table:ay_configbootSQL
- C 語言常用錯誤程式碼釋義大全,讓你編譯執行報錯不是煩惱編譯