close

聚焦源代碼安全,網羅國內外最新資訊!

編譯:代碼衛士團隊

專欄·供應鏈安全

數字化時代,軟件無處不在。軟件如同社會中的「虛擬人」,已經成為支撐社會正常運轉的最基本元素之一,軟件的安全性問題也正在成為當今社會的根本性、基礎性問題。

隨着軟件產業的快速發展,軟件供應鏈也越發複雜多元,複雜的軟件供應鏈會引入一系列的安全問題,導致信息系統的整體安全防護難度越來越大。近年來,針對軟件供應鏈的安全攻擊事件一直呈快速增長態勢,造成的危害也越來越嚴重。

為此,我們推出「供應鏈安全」欄目。本欄目匯聚供應鏈安全資訊,分析供應鏈安全風險,提供緩解建議,為供應鏈安全保駕護航。

註:以往發布的部分供應鏈安全相關內容,請見文末「推薦閱讀」部分。


IBM 更新數據管理平台Db2,保護用戶免受第三方庫 Expat 老舊版本中的兩個嚴重漏洞。這兩個漏洞的評分均為9.8,均可使攻擊者利用整數溢出漏洞在易受攻擊系統上執行任意代碼。

這兩個漏洞是位於 Expat XML_GetBuffer 函數中的CVE-2022-23852和位於 doProlog 函數中的CVE-2022-23990。

NetApp 發布安全公告指出,這兩個漏洞如遭利用,「可導致敏感信息遭泄露、數據被添加或修改、拒絕服務等」。NetApp 正在發布修複方案,修復自家的多款易受攻擊產品。

IBM Db2 僅僅是 Expat (libexpat) 中的眾多企業產品之一。Expat 是解析XML 的C語言庫,「在處理無法適合RAM的過大文件方面以及要求性能和靈活性的文件方面尤為出色」。

下游打補丁

Expat 的維護人員在2022年1月30日發布的2.4.4版本中修復了這些缺陷。它們影響 Db2 版本 9.7.x、10.1.x、10.5.x 和 11.1.x。

IBM 建議運行易受攻擊小版本的客戶下載對應的包含臨時修複方案的特殊 build。IBM 在4月20日發布安全通告指出,「可根據每個受影響發布的小版本層級來查找特殊 build:V9.7 FP11, V10.1 FP6, V10.5 FP11, and V11.1.4 FP6」。

Expat 也促使Oracle Communications MetaSolv Solution 和 Red Hat Enterprise Linux 推出更新。

Pulse Secure 也安排了在多款產品中解決這些漏洞的發布,包括 Pulse Desktop Client、Pulse Connect Secure和Ivanti Connect Secure,目前仍在調查某些其它產品是否易受攻擊。

另外其它組織機構也發布相關安全公告,如 Linux 發行版本Ubuntu、思科8000系列視頻監控攝像頭、Dell EMC VxRail 超融合(存儲)設備。

代碼衛士試用地址:https://codesafe.qianxin.com/
開源衛士試用地址:https://oss.qianxin.com



推薦閱讀
在線閱讀版:《2021中國軟件供應鏈安全分析報告》全文
谷歌和GitHub 聯手提出新方法,提振軟件供應鏈安全
GitHub 突然封禁受制裁俄羅斯實體的開發人員賬戶
速修復!這個嚴重的 Apache Struts RCE 漏洞補丁不完整
NPM流行包再起波瀾:維護人員對俄羅斯用戶發特定消息,誰來保證開源可信?
熱門Ruby 庫中存在嚴重的命令注入漏洞
PHP包管理器PEAR 中爆多個缺陷可發動供應鏈攻擊,已潛伏15年
FIN7 正在轉向密碼重置和軟件供應鏈攻擊
從主流安全開發框架看軟件供應鏈安全保障的落地
速修復!這個嚴重的Zlib內存損壞漏洞已存在17年!
攻擊者「完全自動化」發動NPM供應鏈攻擊
Pwn2Own大賽回顧:利用開源服務中的嚴重漏洞,攻陷西部數據My Cloud PR4100
Node-ipc 熱門包作者投毒「社死『』,誰來保護開源軟件供應鏈安全?
因供應商遭不明網絡攻擊,豐田汽車宣布停產
Linux Netfilter 防火牆模塊爆新漏洞,攻擊者可獲取root權限
豐田汽車頂級供應商 Denso 疑遭勒索攻擊,被威脅泄露商業機密
漏洞Dirty COW:影響Linux系統以及安卓設備
第三方支付處理廠商軟件有漏洞,日本美容零售商Acro 10萬支付卡信息遭攻擊
Linux 內核 cgroups 新漏洞可導致攻擊者逃逸容器
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞獎勵加倍
Apache Cassandra 開源數據庫軟件修復高危RCE漏洞
2021年軟件供應鏈攻擊數量激增300%+
熱門開源CMS平台 Umbraco 中存在多個安全漏洞,可使賬戶遭接管
詳細分析開源軟件項目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)
SAP 嚴重漏洞可導致供應鏈攻擊
Apache PLC4X開發者向企業下最後通牒:如不提供資助將停止支持
Apache 軟件基金會:頂級項目仍使用老舊軟件,補丁作用被削弱
美國商務部發布軟件物料清單 (SBOM) 的最小元素(上)
美國商務部發布軟件物料清單 (SBOM) 的最小元素(中)
美國商務部發布軟件物料清單 (SBOM) 的最小元素(下)
NIST 發布關於使用「行政令-關鍵軟件」的安全措施指南
NIST 按行政令關於加強軟件供應鏈安全的要求,給出「關鍵軟件」的定義及所含11類軟件
SolarWinds 攻擊者再次發動供應鏈攻擊
美國「加強軟件供應鏈安全實踐的指南」 (SSDF V1.1草案) 解讀來了
軟件供應鏈安全現狀分析與對策建議
「木馬源」攻擊影響多數編程語言的編譯器,將在軟件供應鏈攻擊中發揮巨大作用
GitHub 在 「tar」 和 npm CLI 中發現7個高危的代碼執行漏洞
流行的 NPM 包依賴關係中存在遠程代碼執行缺陷
速修復!熱門npm 庫 netmask 被曝嚴重的軟件供應鏈漏洞,已存在9年
Npm 惡意包試圖竊取 Discord 敏感信息和瀏覽器文件
微軟「照片」應用Raw 格式圖像編碼器漏洞 (CVE-2021-24091)的技術分析
SolarWinds 供應鏈事件後,美國考慮實施軟件安全評級和標準機制
找到軟件供應鏈的薄弱鏈條
GitHub談軟件供應鏈安全及其重要性
揭秘新的供應鏈攻擊:一研究員靠它成功入侵微軟、蘋果等 35 家科技公司
開源軟件漏洞安全風險分析
開源OS FreeBSD 中 ftpd chroot 本地提權漏洞 (CVE-2020-7468) 的技術分析
集結30+漏洞 exploit,Gitpaste-12 蠕蟲影響 Linux 和開源組件等
限時贈書|《軟件供應鏈安全—源代碼缺陷實例剖析》新書上市
熱門開源CI/CD解決方案 GoCD 中曝極嚴重漏洞,可被用於接管服務器並執行任意代碼
GitKraken漏洞可用於盜取源代碼,四大代碼託管平台撤銷SSH密鑰
因服務器配置不當,熱門直播平台 Twitch 的125GB 數據和源代碼被泄露
彪馬PUMA源代碼被盜,稱客戶數據不受影響

原文鏈接

https://portswigger.net/daily-swig/ibm-database-updates-address-critical-vulnerabilities-in-third-party-xml-parser

題圖:Pixabay License

本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。

奇安信代碼衛士 (codesafe)

國內首個專注於軟件開發安全的產品線。

覺得不錯,就點個「在看」 或 "贊」 吧~

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()