众至科技:漏洞通告 | 微软10月发布多个安全漏洞;Apache Shiro权限绕过漏洞;Apache Commons存在代码执行漏洞

微软发布了10月安全更新,修复了84个漏洞,其中包括2个0 day漏洞。主要涉及Active Directory、Azure、Office、SharePoint等产品,部分漏洞已被积极利用或公开披露。Apache Shiro存在权限绕过漏洞,影响版本低于1.10.0。Apache Commons JXPath库存在代码执行风险,建议更新或替换组件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

微软发布10月多个安全漏洞

1.漏洞概述

2022年10月11日,微软发布了10月安全更新,此次更新修复了包括2个0 day漏洞在内的84个安全漏洞(不包括10月3日修复的12个Microsoft  Edge漏洞),其中有13个漏洞评级为“严重”。

2.漏洞详情

本次发布的安全更新涉及Active Directory Domain Services、Azure、Microsoft Office、Microsoft Office SharePoint、Windows Hyper-V、Visual Studio Code、Windows Active Directory Certificate Services、Windows Defender、Windows DHCP Client、Windows Group Policy、Windows Kernel、Windows NTFS、Windows NTLM、Windows Point-to-Point Tunneling Protocol、Windows TCP/IP和Windows Win32K等多个产品和组件。

本次修复的84个漏洞中,39个为提取漏洞,20个为远程代码执行漏洞,11个为信息泄露漏洞,8个为拒绝服务漏洞,2个为安全功能绕过漏洞,以及4个欺骗漏洞。

微软本次共修复了2个0 day漏洞,其中CVE-2022-41033已发现被积极利用,CVE-2022-41043已经公开披露。

CVE-2022-41033:Windows COM+ Event System Service特权提升漏洞

该漏洞的CVSSv3评分为7.8,成功利用该漏洞可以获得SYSTEM权限。目前该漏洞暂未公开披露,但已经检测到漏洞利用。

CVE-2022-41043:Microsoft Office 信息泄露漏洞

该漏洞影响了适用于 Mac 2021 的 Microsoft Office LTSC和适用于 Mac 的 Microsoft Office 2019,其CVSSv3评分为3.3,成功利用该漏洞可能会导致用户令牌或其它敏感信息被泄露。目前该漏洞暂未检测到漏洞利用,但已经被公开披露。

微软尚未在本次更新中修复Microsoft Exchange ProxyNotShell漏洞CVE-2022-41040(特权提升)和CVE-2022-41082(远程代码执行),但已经发布了相关安全指南,用户可应用指南中的缓解措施并等待官方补丁发布。

本次更新中值得关注的漏洞包括但不限于:

CVE-2022-37968:启用 Azure Arc 的 Kubernetes 集群连接特权提升漏洞

该漏洞的CVSSv3评分为10.0,影响了启用 Azure Arc 的 Kubernetes 集群的集群连接功能,可能允许未经身份验证的用户提升其权限并可能获得对 Kubernetes 集群的管理控制权。此外,由于 Azure Stack Edge 允许客户通过 Azure Arc 在其设备上部署 Kubernetes 工作负载,因此 Azure Stack Edge 设备也容易受到该漏洞的影响。

CVE-2022-37976:Active Directory 证书服务特权提升漏洞

该漏洞的CVSSv3评分为8.8,只有当 Active Directory 证书服务在域上运行时,系统才容易受到攻击,成功利用此漏洞可以获得域管理员权限。该漏洞影响了多个Windows Server版本,受影响用户可及时安装更新。

CVE-2022-41038:Microsoft SharePoint Server 远程代码执行漏洞

该漏洞的CVSSv3评分为8.8,通过目标网站的身份验证并有权在 SharePoint 中使用管理列表的用户可以在 SharePoint Server 上远程执行代码。

CVE-2022-38048:Microsoft Office 远程代码执行漏洞

该漏洞的CVSSv3评分为7.8,利用该漏洞需与用户交互。该漏洞影响了多个版本的Microsoft Office 2013、Microsoft Office 2016、Microsoft Office 2019、Microsoft Office LTSC和Microsoft 365 企业应用。

微软10月更新涉及的完整漏洞列表如下:

CVE ID

CVE 标题

严重性

CVE-2022-37968

启用 Azure Arc 的 Kubernetes 集群连接特权提升漏洞

严重

CVE-2022-38048

Microsoft Office 远程代码执行漏洞

严重

CVE-2022-41038

Microsoft SharePoint Server 远程代码执行漏洞

严重

CVE-2022-37979

Windows Hyper-V 特权提升漏洞

严重

CVE-2022-37976

Active Directory 证书服务特权提升漏洞

严重

CVE-2022-34689

Windows CryptoAPI 欺骗漏洞

严重

CVE-2022-33634

Windows 点对点隧道协议远程代码执行漏洞

严重

CVE-2022-22035

Windows 点对点隧道协议远程代码执行漏洞

严重

CVE-2022-24504

Windows 点对点隧道协议远程代码执行漏洞

严重

CVE-2022-38047

Windows 点对点隧道协议远程代码执行漏洞

严重

CVE-2022-41081

Windows 点对点隧道协议远程代码执行漏洞

严重

CVE-2022-30198

Windows 点对点隧道协议远程代码执行漏洞

严重

CVE-2022-38000

Windows 点对点隧道协议远程代码执行漏洞

严重

CVE-2022-38042

Active Directory 域服务特权提升漏洞

高危

CVE-2022-38017

StorSimple 8000 系列特权提升漏洞

高危

CVE-2022-37987

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值