在本周的文摘中,我们将讨论。
- Grafana 安全发布;
- VLC 中的整数溢出;以及
- 一个 Snapd 竞争条件漏洞。
Grafana 安全发布
权限升级:未经授权访问任意端点
CVE-2022-39328是Grafana 代码库中的一个竞赛条件,它允许未经身份验证的用户在Grafana 中查询任意端点。HTTP 上下文创建中的竞赛条件可能导致 HTTP 请求被分配给另一个调用的验证/授权中间件。在负载较重的情况下,受特权中间件保护的调用可能会收到公共查询的中间件。因此,未通过身份验证的用户可以恶意成功查询受保护的端点。
Grafana 版本>=9.2.x的所有安装均受影响。要完全解决 CVE-2022-39328,Grafana 建议升级您的实例。
权限升级:用户名/电子邮件地址不可信
Grafana 管理员可以邀请其他成员加入他们作为管理员的组织。当管理员向组织添加成员时,非现有用户会收到电子邮件邀请,而现有成员则会直接添加到组织中。当发送邀请链接时,允许访问该链接的任何人使用用户选择的任何用户名/电子邮件地址注册,成为该组织的成员。CVE-2022-39306的 CVSS 得分为6.4 中度。
All installations for Grafana versions <=9.x, <8.x are impacted. To fully address CVE-2022-39306, Grafana recommends upgrading your instances.
用户名枚举
在登录页面使用忘记密码时,会向/api/user/password/sent-reset-email URL 发出 POST 请求。当用户名或电子邮件不存在时,JSON 响应会包含 "未找到用户 "信息,未经身份验证的用户可利用该信息泄露受影响端点的信息。
The CVSS score for CVE-2022-39307 is 5.3 Moderate. All installations for Grafana versions <=9.x, <8.x are impacted. To fully address this vulnerability, Grafana recommends upgrading your instances.
VLC 中的整数溢出
VLC 媒体播放器(前身为 VideoLAN 客户端,通常简称为 VLC)是由 VideoLAN 项目开发的一款免费开源、便携式跨平台媒体播放器软件和流媒体服务器。CVE-2022-41325位于VNC 模块中。VLC 可使用其 URI 显示 VNC 视频流:vlc vnc://ip_address_of_server:port/
如果攻击者控制了 VNC 服务器,就能诱使 VLC 分配比预期短的内存缓冲区。这样,攻击者就拥有了一个强大的相对 "写什么-在哪里 "原语。他们可以让 VLC 崩溃,或在某些条件下执行任意代码。尽管 VNC 支持是通过第三方库(LibVNCClient)提供的,但受影响的代码却在 VLC 本身中。
受影响的版本为 3.0.17.4 及更早版本。VLC 团队已通过此处的提交修复了该漏洞。
Snapd 竞争条件漏洞
snapd 内部使用snap-confine程序为 snap 应用程序(容器化软件包)构建执行环境。CVE-2022-3328描述了 snap-confine 中must_mkdir_and_open_with_perms()函数中的竞赛条件漏洞,该程序默认作为 SUID-root 程序安装在Ubuntu 上。该漏洞是作为CVE-2021-44731 修复的一部分引入的。
拥有正常用户权限的攻击者可利用多路径权限升级漏洞(CVE-2022-41974)和多路径符号链接漏洞,将/tmp目录绑定到文件系统中的任何目录,并将普通用户权限提升为 ROOT 权限。
受影响的 snapd 版本为2.54.3 - 2.57.6。目前,官方安全版本已发布,以修复此漏洞。建议受影响的用户升级到更新的版本。
注释