20个令人震惊的安全漏洞,我们的数据安全真的有保障吗?

20漏洞

漏洞编号 漏洞名称 影响系统/产品 简要描述
CVE-2020-15778 OpenSSH命令注入漏洞 OpenSSH 8.3p1及更低版本 允许攻击者在scp服务中注入命令并执行任意命令。
CVE-2024-43047 高通芯片零日漏洞 64款高通芯片,包括骁龙8 Gen1、骁龙888+等 可通过运行恶意代码控制设备。
CVE-2023-42820 JumpServer密码重置漏洞 JumpServer v2.24 v3.6.4 随机数种子泄露导致未授权的密码重置。
CVE-2020-1938 Tomcat文件包含漏洞 Tomcat 默认配置 通过AJP协议读取任意文件。

详细分析

20个令人震惊的安全漏洞,我们的数据安全真的有保障吗?插图1
(图片来源网络,侵删)

1. CVE-2020-15778

漏洞简介:OpenSSH 8.3p1及以下版本中的scp功能存在命令注入漏洞,该漏洞允许攻击者利用scp服务注入命令并反弹shell,从而执行任意命令。

影响版本:OpenSSH <= 8.3p1。

修复方法:升级OpenSSH版本到8.3p1以上或使用更安全的命令代替scp。

2. CVE-2024-43047

20个令人震惊的安全漏洞,我们的数据安全真的有保障吗?插图3
(图片来源网络,侵删)

漏洞简介:一个影响64款高通芯片的零日漏洞,可以让攻击者通过运行恶意代码来控制设备。

受影响芯片:骁龙8 Gen1、骁龙888+以及多款中端芯片,甚至包括FastConnect连接模块和不同型号的调制解调器。

修复方法:高通已经向设备制造商发布了修复该漏洞的补丁,建议用户及时更新。

3. CVE-2023-42820

漏洞简介:JumpServer开源堡垒机的一个漏洞,由于随机数种子泄露,未授权的攻击者可以推算出没有开启多因子验证(MFA)的账号的“重置密码Token”,进而修改该账号的密码。

20个令人震惊的安全漏洞,我们的数据安全真的有保障吗?插图5
(图片来源网络,侵删)

影响版本:v2.24 v3.6.4。

修复方法:升级到安全版本v2版本>= v2.28.19或v3版本>= v3.6.5。

4. CVE-2020-1938

漏洞简介:Tomcat默认开启的AJP服务存在一处文件包含缺陷,攻击者可以通过构造的恶意请求包来进行文件包含操作,从而读取或包含Tomcat上所有webapp目录下的任意文件。

影响版本:Tomcat默认配置。

修复方法:临时禁用AJP协议8009端口或为AJP Connector配置secret来设置AJP协议的认证凭证。

这些漏洞涵盖了不同的系统和产品,从网络协议到硬件芯片,再到应用服务器,都存在一定的安全隐患,及时的补丁更新和安全配置是防止这些漏洞被利用的关键。

各位小伙伴们,我刚刚为大家分享了有关20漏洞的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!

本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/81732.html

(0)
上一篇 2024年10月21日 10:21
下一篇 2024年10月21日 10:52

相关推荐