| 弱点名称 |
| Microsoft: Azure Managed Instance for Apache Cassandra Elevation of Privilege Vulnerability (Critical) |
► 摘要:Azure Managed Instance for Apache Cassandra 中存在存取控制不当漏洞,允许具布署User Defined Functions (UDF) 权限至Apache Cassandra cluster的攻击者,透过传送特制封包跳脱权限,以冒充受害者身分,进而取得极敏感资讯,甚至是攻击者租户以外的clusters。
► CVE 编号:CVE-2024-38175
► 受影响厂商:Microsoft
► 受影响产品:Azure Managed Instance for Apache Cassandra
► Azure Managed Instance for Apache Cassandra受影响。
► 请参阅Azure 官方文件 “Quickstart: Create a cluster – portal” 之Update Cassandra Version一节 说明进行,按主版本依序升级,从 3.11→4.0→4.1→5.0 进行修正。
► 修补说明:Microsoft于2024/08/20发布此漏洞。(详细请参考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38175) |
| Microsoft: Entra ID Elevation of Privilege Vulnerability |
► 摘要:Decentralized Identity Services存在存取控制不当漏洞,未验证的攻击者可停用其他租户的 Verifiable ID。
► CVE 编号:CVE-2024-43477
► 受影响厂商:Microsoft
► 受影响产品:Microsoft Entra ID
► 微软已修正该问题,使用者无需采取任何措施。
► 修补说明:Microsoft于2024/08/22发布此漏洞。(详细请参考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43477) |
| Cisco Unified Communications Manager Denial of Service Vulnerability |
► 摘要:Cisco Unified CM与Unified CM SME存在SIP讯息解析错误漏洞,未验证的攻击者可传送特制SIP讯息到受影响装置,导致装置重新加载,造成通讯中断,使语音和视讯装置运作失常。(DoS)
► CVE 编号:CVE-2024-20375
► 受影响厂商:Cisco
► 受影响产品:Cisco Unified CM、Cisco Unified CM SME
► Cisco Unified CM、Cisco Unified CM SME 12.5(1)版本受影响,需更新至12.5(1)SU9版本。
► Cisco Unified CM、Cisco Unified CM SME 14版本受影响,需更新至14SU4版本。
► Cisco Unified CM、Cisco Unified CM SME 15版本受影响,需更新至15SU1版本。
► 修补说明:Cisco于2024/08/21发布此漏洞。(详细请参考:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-dos-kkHq43We) |
| F5: BIND vulnerability CVE-2024-1737 |
► 摘要:F5的BIG-IP产品之DNS解析机制(使用BIND)存在一缺陷。其resolver caches和authoritative zone databases若存在大量相同名称之资源记录时(任何RTYPE),不论新增、更新,或处理查询,效能会大辐下降。
► CVE 编号:CVE-2024-1737
► 受影响厂商:F5
► 受影响产品:BIG-IP (DNS)
► BIG-IP (DNS) 17.1.0 - 17.1.1、16.1.0 - 16.1.5、15.1.0 -15.1.10版本受影响,修补资讯待厂商
日后释出。
► 缓解措施:限制储存的记录数量或启用连线速率限制。
► 修补说明:F5于2024/08/17发布此漏洞,并于2024/08/22更新。(详细请参考:https://my.f5.com/manage/s/article/K000140732)
|
| F5: BIND vulnerability CVE-2024-1975 |
► 摘要:F5的BIG-IP产品之DNS解析机制(使用BIND)存在一缺陷。当DNS服务器讬管区域含有 “KEY” 资源记录,或解析器 DNSSEC 验证快取DNSSEC签章网域中含有 “KEY” 资源记录,攻击者可借由发送大量SIG(0) 数码签章请求给服务器,使CPU资源被耗尽,致使DNS (BIND) 无法正常回应。(DoS)
► CVE 编号:CVE-2024-1975
► 受影响厂商:F5
► 受影响产品:BIG-IP (DNS)
► BIG-IP (DNS) 17.1.0 - 17.1.1、16.1.0 - 16.1.5、15.1.0 -15.1.10版本受影响,修补资讯待厂商
日后释出。
► 缓解措施:移除这两种未使用的DNSKEY记录:(1) 为相同区域提供服务,但未参与目前 DNSSEC
验证的冗馀 DNSSEC DNSKEY资源记录;(2) 不再需要的旧的、未使用的DNSKEY记录。
► 修补说明:F5于2024/08/23发布此漏洞。(详细请参考:https://my.f5.com/manage/s/article/K000140745)
|
