安全公告–关于控制台组件libcurl漏洞CVE-2023-38545

摘要:

libcurl漏洞CVE-2023-38545,此缺陷导致 SOCKS5 代理握手中的curl 溢出基于堆的缓冲区。

当要求curl 将主机名传递给SOCKS5 代理以允许其解析地址而不是由curl 本身完成时,主机名的最大长度为255 字节。

如果检测到主机名超过 255 个字节,curl 会切换到本地名称解析,而仅将解析后的地址传递给代理。 由于一个错误,表示“让主机解析名称”的局部变量可能在缓慢的 SOCKS5 握手期间获得错误的值,并且与意图相反,将太长的主机名复制到目标缓冲区,而不是仅复制已解析的主机名的地址那里。

漏洞信息由 Jay Satiro提供。链接:https://curl.se/docs/CVE-2023-38545.html

目前已有修复的控制版本可更新。

影响范围:

i2up企业版本7.1.74.23110613之前的控制台版本。

影响后果:

此缺陷会导致 SOCKS5 代理握手中的curl 溢出基于堆的缓冲区。

漏洞评分:

CVE-2023-38545的CVSSv3评分为9.8,等级:严重。

漏洞详细描述:

主机名来自于curl 被告知要操作的URL。

目标缓冲区是 libcurl 中基于堆的下载缓冲区,在传输开始之前重用于 SOCKS 协商。 缓冲区的大小默认为 16kB,但应用程序可以设置为不同的大小。 默认情况下,curl 工具将其设置为 102400 字节 – 但如果 –limit-rate 设置低于每秒 102400 字节,则会将缓冲区大小设置为较小的大小。libcurl 提供了 CURLOPT_BUFFERSIZE 选项来更改下载缓冲区的大小。libcurl 接受 URL 中最多 65535 字节的主机名。

如果使用的主机名比目标缓冲区长,则有一个 memcpy() 将缓冲区覆盖到堆中。 URL 解析器和可能的 IDN 库(如果使用curl 构建)必须接受主机名,这在一定程度上限制了可在副本中使用的可用字节序列集。

要发生溢出,需要足够慢的 SOCKS5 握手来触发本地变量错误,并且客户端使用的主机名长于下载缓冲区。 可能是恶意 HTTPS 服务器重定向到特制的 URL。

典型的服务器延迟可能“慢”到足以触发此错误,而攻击者无需通过 DoS 或 SOCKS 服务器控制来影响它。

仅在未设置 CURLOPT_BUFFERSIZE 或将其设置为小于 65541 的应用程序中才可能发生溢出。由于curl 工具默认将 CURLOPT_BUFFERSIZE 设置为 100kB,因此除非用户将速率限制设置为小于 65541 字节/秒,否则它不会受到攻击。

导致在 libcurl 中使用具有远程主机名的 SOCKS5 的选项:
CURLOPT_PROXYTYPE 设置为 CURLPROXY_SOCKS5_HOSTNAME 类型,或者CURLOPT_PROXY或CURLOPT_PRE_PROXY设置为使用socks5h://方案
代理环境变量之一可以设置为使用socks5h://方案。 例如 http_proxy、HTTPS_PROXY 或 ALL_PROXY。
导致在curl工具中使用具有远程主机名的SOCKS5的选项:
–socks5-主机名,或:
–proxy或–preproxy设置为使用socks5h://方案
libcurl 部分中描述的环境变量。
当 SOCKS5 握手代码从阻塞函数转换为非阻塞状态机时,引入了此错误。

本节中的分析特定于curl版本8。curl版本7的一些旧版本对主机名长度和/或无法被CURLOPT_BUFFERSIZE覆盖的更小的SOCKS协商缓冲区大小的限制较少。

常见漏洞披露 (CVE) 项目已将此问题指定为 CVE-2023-38545。

CWE-122:基于堆的缓冲区溢出
HackerOne:https://hackerone.com/reports/2187833

规避方案:

从curl 8.4.0 开始,如果名称太长,curl 不再切换到本地解析模式,而是正确返回错误。
固定:https://github.com/curl/curl/commit/fb4415d8aee6c1
建议:
A – 将curl升级到版本8.4.0
B – 将补丁应用到您的本地版本
C – 不要在curl中使用CURLPROXY_SOCKS5_HOSTNAME代理
D – 不要将代理环境变量设置为socks5h://

解决方案及版本更新计划:

升级英方控制台版本到7.1.74.23110613及以上版本。

版本获取途径:

 https://share.i2yun.com/m/71ba030d67/  密码:Info2soft

漏洞信息来源及漏洞被利用情况:

目前并未了解到有其他公共渠道对本文中提到的漏洞进行发布,以及漏洞被恶意利用的情况。

技术支撑渠道:

若有产品使用问题请发邮件到support@info2soft.com咨询,或拨打4000078655转2咨询。

安全公告–关于Kafka漏洞CVE-2023-25194

一、概要

基本信息:
CVE编号: CVE-2023-25194
漏洞类型:代码执行
受影响应用版本:Apache Kafka Connect 2.3.0-3.3.2
检测方式:POC验证
kafka-clients-2.6.3.jar
当前安装版本:2.6.3
应用器径: /home/oadmin/i2stream/consumer-rdbms/libs/kafka-clients-2.6.3.jar
kafka-clients-2.8.1.jar
当前安装版本:2.8.1
应用路径: /home/oadmin/i2active/dbmon/libs/kafka-clients-2.8.1.jar

二、威胁级别
威胁级别:【高】

三、漏洞影响范围

涉及软件版本:
dbmon:7.1.74.23011215 以及7.1.74之前版本
consumer:7.1.74.23042011 以及7.1.74之前版本

四、漏洞处置:
修复链接:https://share.i2yun.com/m/3d7af94f10/ 密码:Info2soft

说明:
i2stream-consumer-7.1.74.23071014.rdbms.tar.gz和 i2stream-monitor-7.1.75.23071011.tar.gz 是完整的consumer和monitor包,如果客户那边要整体升级的话,可以用这两个包升级。
如果客户那边只是想升级一下kafka-clients,consumer和monitor主体还是用原来的,可以直接用 kafka-clients-3.5.0.jar包升级。

注:如有疑问,请及时联系英方技术支持或者拨打400 0078 655 转2 获得帮助

安全公告–关于Apache Hadoop 命令注入漏洞(CVE-2022-25168)

一、概要
消费节点 Hadoop Apache Hadoop 命令注入漏洞(CVE-2022-25168)
当前安装版本:3.3.1
– 应用路径:/opt/20221214/i2active/diffkit/libs/hadoop-common-3.3.1.jar

Apache Hadoop是美国阿帕奇(Apache)基金会的一套开源的分布式系统基础架构。该产品能够对大量数据进行分布式处理,并具有高可靠性、高扩展性、高容错性等特点。
Apache Hadoop存在命令注入漏洞,该漏洞源于其 FileUtil.unTar接口未转义用户提交到shell的文件名导致攻击者可以注入任意命令。 Apache Hadoop 2.0 – 2.10.1,3.0 – 3.2.3,3.3.0 – 3.3.2 将 Hadoop 升级到 2.10.2、3.2.4、3.3.3 及以上版本,下载地址:https://hadoop.apache.org/releases.html

二、威胁级别
威胁级别:【高】

三、漏洞影响范围

active for mssql:7.1.75.22111614
producer :7.1.72.22040809

四、漏洞处置:

修复链接: https://share.i2yun.com/m/4751ca26d4/ 密码:Info2soft

注:如有疑问,请及时联系英方技术支持或者拨打400 0078 655 转2 获得帮助

安全公告–关于Apache Commons Text 远程代码执行漏洞(CVE-2022-42889)

一、概要
消费节点 Apache Commons Text 远程代码执行漏洞(CVE-2022-42889)
当前安装版本:1.6
– 应用路径:/opt/20221214/iaconsumer/libs/commons-text-1.6.jar

Apache Commons Text 是一个专注于字符串算法的库。Apache Commons Text 存在远程代码执行漏洞,Apache Commons Text 执行变量插值,允许动态评估和扩展属性。在1.5到1.9版本中,包括一些默认的插值器,如果使用不受信任的配置值,则在受影响版本中使用插值默认值的应用程序可能容易受到远程代码执行的攻击。 Commons Text 1.5 – 1.9 将 Commons Text 升级到 1.10.0 及以上版本,下载地址:https://commons.apache.org/proper/commons-text/download_text.cgi

二、威胁级别
威胁级别:【高】

三、漏洞影响范围

active for mysql:7.1.74.22110111
consumer:7.1.74.22121415

四、漏洞处置:

修复链接:https://share.i2yun.com/m/4751ca26d4/ 密码:Info2soft

注:如有疑问,请及时联系英方技术支持或者拨打400 0078 655 转2 获得帮助

安全公告–关于PHP远程代码执行漏洞处置说明

一、概要

2022年6月9日,PHP发布多个更新版本,修复了PHP中2个可导致远程代码执行的漏洞(CVE-2022-31626和CVE-2022-31625)

本次漏洞涉及我司i2up控制机

 

二、威胁级别

威胁级别:【严重】

 

三、漏洞影响范围

影响版本:涉及目前对外已发布全部版

 

、漏洞处置

1,Webconsole:

以下链接下载libs包,通过Uvh来升级旧libs包

el7:https://share.i2yun.com/m/d8c323f4de/

el8 :https://share.i2yun.com/m/cc6daa01ec/

suse12:https://share.i2yun.com/m/4dabb885c8/

suse15:https://share.i2yun.com/m/0efb106b41/

 

2,Ctrlcenter:

官方链接:https://www.php.net/downloads

注:建议用户使用Webconsole

 

3,Windows:

官方链接:https://windows.php.net/downloads/releases/

注:Windows控制台不推荐使用,建议使用Linux

、版本兼容性

本次libs包升级,内部已通过测试,兼容7.1.68以及7.1.68之后的版本;
关于7.1.68之前版本升级,请先联系英方技术支持进行确认。

 

注:如有疑问,请及时联系英方技术支持或者拨打400 0078 655 转2 获得帮助

英方会发布并持续更新安全通告:安全公告 – 英方发布 (info2soft.com)

安全公告–关于Fastjson 反序列化远程代码执行漏洞处置说明

一、漏洞概述

fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。

我司涉及的产品/功能如下:i2DTO,i2Stream,i2BigData, Hadoop的备份和恢复。

二、漏洞等级

漏洞等级:【严重】

三、漏洞影响范围

影响版本:目前已发布的所有版本

四、漏洞处置

  1. i2DTO (受影响的版本:i2DTO 7.1.72 ≤ 7.1.72.21090919;i2DTO 7.1.74≤7.1.74.22042122)
    ●  后续版本已升级依赖包。
    ●  历史版本临时处理方法:
    修改/usr/local/i2dto/dto/start-synchost.sh文件中增加参数,重启服务。
    ../jdk/bin/java -Xms128m -Xmx8192m -Dfastjson.parser.safeMode=true -Djava.library.path=lib com.i2.dto.sync.SyncMain
  2. i2Stream (受影响版本:截止于2022/5/26之前发布的全部版本)
    ●  后续版本升级依赖包。
    ●  历史版本临时处理方法:
    启动脚本,添加 -Dfastjson.parser.safeMode=true
  3. i2BigData, Hadoop的备份和恢复 (受影响版本:i2UP7.1.72 ≤7.1.72.22011718;i2UP 7.1.74 ≤7.1.74.22042122)
    ●  后续版本已升级依赖包。
    ●  历史版本临时处理方法:
    修改i2bb.sh将 nohup java -Xmx3550m -Xms3550m -cp ${APP_NAME} com.i2.i2bb.node.nio.I2BBNIOServer /usr/local/i2bb/i2bb.conf 1>/dev/null 2>/usr/local/i2bb/error.log &
    修改为
    nohup java -Xmx3550m -Xms3550m -Dfastjson.parser.safeMode=true -cp ${APP_NAME} com.i2.i2bb.node.nio.I2BBNIOServer /usr/local/i2bb/i2bb.conf 1>/dev/null 2>/usr/local/i2bb/error.log &
    修改hjob.sh,
    将 export HADOOP_CLIENT_OPTS=”-Djava.io.tmpdir=${TMP_PATH}”
    修改为
    export HADOOP_CLIENT_OPTS=”-Dfastjson.parser.safeMode=true -Djava.io.tmpdir=${TMP_PATH}”

注:如有疑问,请及时联系英方技术支持或者拨打400 0078 655 转2 获得帮助
英方会发布并持续更新安全通告:安全公告 – 英方发布 (info2soft.com)

安全通告 – Linux Polkit 权限提升漏洞风险通告(CVE-2021-4034)

一、漏洞概述

近日,国外安全团队发布安全公告称,在 polkit 的 pkexec 程序中发现了一个本地权限提升漏洞。pkexec 应用程序是一个 setuid 工具,旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。 由于当前版本的 pkexec 无法正确处理调用参数计数,并最终会尝试将环境变量作为命令执行。攻击者可以通过控制环境变量,从而诱导 pkexec 执行任意代码。利用成功后,可导致非特权用户获得管理员权限。

二、风险等级

目前漏洞POC已被泄露,攻击者利用该漏洞可导致恶意用户权限提升等危害

三、影响范围

i2Box备份一体机的预安装系统CentOS 6.8、 CentOS 7.7

i2CDM发布的虚拟化系统CentOS 7.7

四、安全版本

CentOS系列:

CentOS 6:polkit-0.96-11.el6_10.2

CentOS 7:polkit-0.112-26.el7_9.1

 

五、修复建议

CentOS 7:
yum clean all && yum makecache && yum update polkit -y

或者:
wget http://mirror.centos.org/centos/7/os/x86_64/Packages/polkit-0.112-26.el7.x86_64.rpm && rpm -Uvh polkit-0.112-26.el7.x86_64.rpm

CentOS 6:
wget http://mirrors.aliyun.com/centos-vault/6.10/os/x86_64/Packages/polkit-0.96-11.el6.x86_64.rpm && rpm -Uvh polkit-0.96-11.el6.x86_64.rpm

 

参考链接

  • https://access.redhat.com/security/cve/CVE-2021-4034
  • https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt

安全通告–关于 Apache Log4j2 远程代码执行漏洞处置说明

一、概要

Apache Log4j2存在一处远程代码执行漏洞,在引入Apache Log4j2处理日志时,会对用户输入的内容进行一些特殊的处理,攻击者可以构造特殊的请求,触发远程代码执行。漏洞细节被公开,漏洞POC已在互联网出现,风险较高。
我司涉及的产品如下:i2Stream,i2Active(除Oracle外),i2DTO,i2VP

二、威胁级别

威胁级别:【严重】

三、漏洞影响范围

影响版本:目前已发布的所有版本

四、漏洞处置

若无必要,禁止业务对外网暴露

处置规避措施:
i2Stream产品:
1.停止相关规则
2.在软件安装根目录下的bin目录下的启动脚本,java命令后增加参数 “-Dlog4j2.formatMsgNoLookups=true”
3.重启进程,再继续启动规则

I2DTO产品:
Linux同步主机:
修改:/usr/local/i2dto/dto/start-synchost.sh, 增加参数 “-Dlog4j2.formatMsgNoLookups=true”
重启DTO服务,然后登录i2UP控制台启动DTO规则。

Windows同步主机:
增加Windows系统量:FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS
将其值设置为 true
重启i2DTO服务,然后登录i2UP控制台启动DTO规则。

NPServer:
Linux:
修改启动文件:/etc/init.d/npsvr,搜索java命令,在每个java命令后增加参数 “-Dlog4j2.formatMsgNoLookups=true”

Windows:
处理方法参考i2DTO的Windows处理方法,然后重启NPServer服务。

注:如有疑问,请及时联系英方技术支持或者拨打400 0078 655 转2 获得帮助

安全公告-关于i2Enterprise 6.1-34351版本控制机启用http访问的安全隐患说明

以下通报英方软件i2Enterprise 6.1-34351版本控制机使用方面的密码安全隐患,请在有对应使用场景的用户引起重视。

版本信息描述:6.1-34351
版本发布时间:2019年8月6日
版本发布状态:发布

 

1、隐患描述

i2Enterprise 6.1-34351默认采用https协议访问控制机,如因特殊需求配置启用http的方式,则需要特别注意。
http协议,服务器与web浏览器之间的交互信息未采用ssl加密,当遭受某些特定攻击时(比如,使用漏洞扫描软件进行扫描),交互信息一旦被拦截,控制机的用户名和密码等信息可能会被窃取。

版本说明:
从6.1-30987版本开始,才改为默认使用https ,之前版本均默认采用http。使用旧版的用户也需要特别注意。

2、影响范围

软件版本:6.1-34351版本,或6.1-29838之前版本
功能模块:i2Enterprise
影响程度:Critical
隐患来源:软件配置使用

3、隐患说明

原因:
HTTP协议进行数据传输是采用明文格式,没有采取任何加密措施,用户的重要数据很容易被窃取。

影响:
控制机的登录信息可能会被窃取,攻击者可以利用窃取到的信息登录到灾备管理界面,任意操作被管理的节点,以及他们之间的复制关系或容灾规则,比较危险。

4、强制措施

找到控制机安装路径下的.htaccess文件。

文件默认路径:
C:\Program Files (x86)\info2soft-ctrlcenter\Apache24\htdocs\.htaccess
/var/www/html/i2/.htaccess
第一行参数RewriteEngine为on时,默认关闭http方式,而采用https安全访问。当该值为off时,则会启用http方式。如在使用6.1-30987及之后的版本,建议不要更改默认配置,请保持RewriteEngine的值为off。