鑽石舞台

威脅等級：高危

漏洞描述：

2022年8月9日，華雲安思境安全團隊發現 Apache 官方發布安全更新，披露了 Apache Avro 中存在一處整數溢出漏洞。Apache Avro是一個數據序列化系統，為 Apache Hadoop 提供數據序列化和數據交換服務。該漏洞是由於系統讀取損壞的.avro，成功利用此漏洞的攻擊者通過系統讀取損壞數據導致應用程序崩潰。

情報來源：

https://lists.apache.org/thread/t1r5xz0pvhm4tosqopjpj6dz8zlsht07

威脅等級：超危

漏洞描述：

2022年8月10日，華雲安思境安全團隊發現 Microsoft 官方發布8月份安全更新，共包括121個漏洞的補丁程序，主要涵蓋了 Microsoft Office Outlook、Microsoft Office Excel、Active Directory Domain Services、Windows Kerberos、Windows Storage Spaces Direct、Windows Print Spooler Components、Windows Network File System、Windows Local Security Authority (LSA)、Windows Defender Credential Guard 等多個產品組件。在漏洞安全等級方面，有超危漏洞17個，高危漏洞103個，中危漏洞1個。在漏洞類型方面，有64個為提取漏洞，31個為遠程代碼執行漏洞，12個為信息泄露漏洞，7個為拒絕服務漏洞，6個為安全功能繞過漏洞，以及1個欺騙漏洞。對此，華雲安建議相關用戶及時到 Microsoft 官方下載安裝對應的安全補丁進行更新！

情報來源：

https://msrc.microsoft.com/update-guide/releaseNote/2022-Aug

威脅等級：高危

漏洞描述：

2022年8月11日，華雲安思境安全團隊發現 Palo Alto Networks 官方發布安全更新，披露了 Palo Alto Networks PAN-OS 組件中存在一處拒絕服務漏洞。Palo Alto Networks PAN-OS 是 Palo Alto Networks 的一款下一代防火牆軟件。該漏洞是由於過濾策略配置錯誤引起，成功利用此漏洞的攻擊者可執行拒絕服務攻擊。

情報來源：

https://security.paloaltonetworks.com/CVE-2022-0028

威脅等級：高危

漏洞描述：

2022年8月12日，華雲安思境安全團隊發現 Zimbra 官方發布安全更新，披露了 Zimbra Collaboration (ZCS) 中存在一處任意文件上傳漏洞。Zimbra 是一個電子郵件和協作平台，Zimbra Collaboration（又稱ZCS）8.8.15和9.0具有mboximport功能，可接收ZIP存檔並從中提取文件。該漏洞是由於具有管理員權限的認證用戶可以將任意文件上傳到系統中，從而導致目錄遍歷或遠程代碼執行。

情報來源：

https://wiki.zimbra.com/wiki/Security_Center

威脅等級：高危

漏洞描述：

2022年8月13日，華雲安思境安全團隊發現 VMware 官方發布安全更新，披露了 VMware vRealize Operations 中存在一處權限提升漏洞。VMware vRealize Operations 是一個面向私有雲、混合雲和多雲環境的 IT 運維管理平台，該平台通過 AI/ML 和預測分析，提供持續的性能、容量和成本優化、智能修復和集成合規性。成功利用此漏洞的攻擊者可以將普通權限提升至 root 權限。

情報來源：

https://www.vmware.com/security/advisories/VMSA-2022-0022.html