CVE
Thông tin điểm yếu, lỗ hổng - Tuần 2 - Tháng 8 - 2023
date
Aug 7, 2023
slug
cve-tuan-2-thang-8-nam-2023
author
status
Public
tags
CVE
News
Blog
Git
Github
Docs
summary
CVE tuần 2 tháng 8 - 2023
type
Post
thumbnail
category
CVE
updatedAt
Aug 17, 2023 07:06 AM
Thông tin điểm yếu, lỗ hổng
Sản phẩm/ Dịch vụ | Mã lỗi | Mô tả | Link tham khảo | Ghi chú |
Microsoft August 2023 Patch Tuesday | ㅤ | Trong Patch Tuesday tháng 8 năm 2023, Microsoft phát hành các bản vá cho 87 lỗ hổng, bao gồm 2 bị khai thác tích cực trong thực tế và 23 lỗ hổng thực thi mã từ xa.
23 lỗi RCE được sửa nhưng chỉ có 6 lỗi được đánh giá là ‘Critical’
Số lượng lỗi trong mỗi loại lỗ hổng được liệt kê cụ thể:
• 18 lỗ hổng leo thang đặc quyền
• 3 lỗ hổng vượt qua tính năng bảo mật
• 23 lỗ hổng thực thi mã từ xa
• 10 lỗ hổng tiết lộ thông tin
• 8 lỗ hổng từ chối dịch vụ
• 12 lỗ hổng giả mạo
Không bao gồm 12 lỗ hổng Microsoft Edge (Chromium) đã được khắc phục vào đầu tháng này.
2 lỗ hổng zero-day bị khai thác tích cực:
- CVE-2023-36884, là lỗi thực thi mã từ xa trong thành phần Windows Search. Lỗ hổng này cho phép tin tặc tạo các tài liệu Microsoft Office tự tạo có thể bỏ qua tính năng bảo mật Mark of the Web (MoTW) khiến các tệp tải về từ Internet được mở mà không hiển thị cảnh báo bảo mật và tạo điều kiện để thực thi mã từ xa. Lỗ hổng bị khai thác bởi nhóm RomCom triển khai các phần mềm tống tiền. Lỗ hổng được phát hiện bởi Paul Rascagneres và Tom Lancaster với Volexity.
- CVE-2023-38180, là lỗ hổng từ chối dịch vụ trong bộ công cụ phát triển phần mềm .NET và Visual Studio. Lỗ hổng này có thể bị kẻ tấn công khai thác để làm sập hệ thống của nạn nhân, ngăn cản họ sử dụng phần mềm. Microsoft không cung cấp thêm thông tin chi tiết về cách hacker khai thác CVE-2023-38180 cũng như người đã phát hiện ra lỗ hổng.
Ngoài ra, Microsoft còn vá 68 lỗ hổng nghiêm trọng và 12 lỗ hổng quan trọng khác trong các sản phẩm và dịch vụ của mình. Các lỗ hổng này ảnh hưởng đến nhiều sản phẩm của Microsoft bao gồm Windows, Office, Teams và Azure.
- 5 lỗ hổng leo thang đặc quyền trong Windows Kernel ( CVE-2023-35359 , CVE-2023-35380 , CVE-2023-35382 , CVE-2023-35386 và CVE-2023-38154 )
- Lỗ hổng thực thi mã từ xa: Microsoft Excel (CVE-2023-36896), Microsoft Office (CVE-2023-35371), Microsoft Outlook (CVE-2023-36895), Microsoft Teams (CVE-2023-29328, CVE-2023-29330), Microsoft OLE DB(CVE-2023-38169) | Người dùng được khuyến nghị cài đặt các bản cập nhật Patch Tuesday tháng 8 càng sớm càng tốt để bảo vệ hệ thống của họ khỏi bị tấn công. | |
PHP | CVE-2023-3823 (CVSS 8.6)
CVE-2023-3824 (CVSS 9.4) | - CVE-2023-3823: Lỗi tiết lộ thông tin
Lỗ hổng tiết lộ thông tin cho phép kẻ tấn công từ xa đánh cắp thông tin nhạy cảm từ ứng dụng viết bằng PHP.
Lỗ hổng tồn tại do xác thực đầu vào XML của người dùng cung cấp không đầy đủ. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi mã XML tự tạo tới ứng dụng. Sau đó, ứng dụng sẽ phân tích cú pháp của mã này, từ đó kẻ tấn công có quyền truy cập vào thông tin nhạy cảm, chẳng hạn như nội dung của các tệp tùy ý trên hệ thống hoặc xem được kết quả các truy vấn bên ngoài.
Mọi ứng dụng, thư viện và máy chủ phân tích cú pháp hoặc tương tác với các tài liệu XML đều bị ảnh hưởng bởi CVE-2023-3823.
- CVE-2023-3824: Lỗi tràn bộ đệm
Lỗ hổng tràn bộ đệm cho phép kẻ tấn công từ xa thực thi mã tùy ý trên hệ thống chạy bằng PHP.
Lỗ hổng tồn tại do kiểm tra giới hạn hàm phar_dir_read() không đúng. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu tự tạo tới ứng dụng gây ra lỗi tràn bộ đệm, cho phép chúng giành quyền kiểm soát hệ thống và thực thi mã tùy ý.
Ngoài ra, vẫn còn rủi ro về việc tràn bộ đệm trong hàm "memset". Mặc dù chưa có trường hợp nào được tìm thấy trong chính PHP, nhưng các tiện ích mở rộng từ bên thứ ba vẫn có thể bị ảnh hưởng bởi CVE-2023-3824.
Thực tế, việc tấn công và lạm dụng lỗ hổng này khá phức tạp, tùy thuộc vào ứng dụng bị nhắm mục tiêu. Tuy vậy, về mặt lý thuyết, việc khai thác vẫn có thể xảy ra. Theo khuyến cáo cho biết: "Những người kiểm tra nội dung của các tệp phar không đáng tin cậy có thể bị ảnh hưởng." | Cả hai lỗ hổng CVE-2023-3823 và CVE-2023-3824 đều đã được vá trong phiên bản PHP 8.0.30 và đã có mã khai thác (PoC). Vì vậy, người dùng nên nâng cấp lên phiên bản mới càng sớm càng tốt và thực hiện thêm các bước dưới đây để bảo vệ các ứng dụng viết bằng PHP:
• Xác thực tất cả dữ liệu đầu vào của người dùng đầy đủ
• Sử dụng tường lửa ứng dụng web (WAF) để ngăn chặn các lỗ hổng và hành vi độc hại.
• Luôn cập nhật phiên bản mới nhất của PHP. | |
Android security patch August 2023 | ㅤ | Chỉ hơn 40 lỗ hổng đã được Google vá trong hệ điều hành Android với việc phát hành bản cập nhật bảo mật tháng 8 năm 2023.
- Lỗ hổng nghiêm trọng nhất là CVE-2023-21273: thực thi mã từ xa nghiêm trọng ảnh hưởng đến thành phần Hệ thống. Không cần tương tác người dùng hoặc đặc quyền nâng cao để khai thác.
- CVE-2023-21273 ảnh hưởng đến Android 11, 12, 12L và 13.
- Một số lỗ hổng khác cũng được xếp hạng 'critical’, bao gồm CVE-2023-21282 (lỗ hổng thực thi mã từ xa trong thành phần Media Framework), CVE-2023-21264 (lỗ hổng leo thang đặc quyền kernel và CVE-2022-40510 (lỗ hổng bộ nhớ trong Các thành phần closed-source của Qualcomm).
- 30 lỗ hổng bảo mật được vá bằng các bản cập nhật mới nhất đã được xếp hạng 'high severity'. Đa số có thể dẫn đến leo thang đặc quyền và tiết lộ thông tin, và một số có thể bị khai thác cho các cuộc tấn công từ chối dịch vụ (DoS).
Android 14 sắp tới sẽ giới thiệu các biện pháp giảm thiểu bảo mật di động mới cho người tiêu dùng và doanh nghiệp. Bao gồm khả năng vô hiệu hóa hỗ trợ 2G và tính năng vô hiệu hóa hỗ trợ cho kết nối di động không được mã hóa. | https://www.securityweek.com/40-vulnerabilities-patched-in-android-with-august-2023-security-updates/
- Chi tiết về từng lỗ hổng của Android:
https://source.android.com/docs/security/bulletin/2023-08-01 | Tất cả người dùng cập nhật lên phiên bản Android mới nhất nếu có thể |
CPU kiến trúc Zen 2 của AMD. | Downfall (CVE-2022-40982)
Inception (CVE-2023-20569)
Collide+Power (CVE-2023-20583) | Lỗ hổng Downfall (CVE-2022-40982)
- Cuộc tấn công nhắm vào một điểm yếu trong hàng tỷ bộ vi xử lý tiên tiến được dùng cho máy tính cá nhân và đám mây. Điểm yếu này cho phép người dùng truy cập và đánh cắp dữ liệu từ người dùng khác trên cùng một máy tính.
- Lỗ hổng bắt nguồn từ các tính năng tối ưu hóa bộ nhớ được Intel giới thiệu trong các bộ xử lý, đặc biệt là những bộ xử lý có tập lệnh AVX2 và AVX-512, từ đó cho phép phần mềm không đáng tin cậy vượt qua được các biện pháp cách ly và truy cập vào vùng dữ liệu của các chương trình khác.
- Tuy nhiên, để khai thác được lỗ hổng cần phải kết hợp hai kiểu tấn công thực thi tạm là Gather Data Sampling (GDS) và Gather Value Injection (GVI).
- Lỗ hổng được đánh giá có mức độ nghiêm trọng trung bình. Intel đã phát hành một bản cập nhật vi mã để giảm thiểu rủi ro, mặc dù có khả năng giảm hiệu năng của các CPU lên đến 50%
Lỗ hổng Inception (CVE-2023-20569)
- Inception cho phép tấn công thực thi tạm nhằm làm rò rỉ bộ nhớ trong nhân tùy ý trên tất cả các CPU của AMD Zen, bao gồm cả bộ xử lý Zen 4 mới nhất, với tốc độ 39 byte/giây.
- Từ đó, tin tặc có thể chiếm đoạt luồng điều khiển tạm thời của các lệnh trả về trên tất cả các bộ xử lý AMD Zen.
- Kỹ thuật khai thác này là sự kết hợp của lỗ hổng Phantom speculation (CVE-2022-23825) và phương pháp Training in Transient Execution (TTE), làm rò rỉ thông tin tương tự như lỗ hổng Spectre-V2 và Retbleed.
Lỗ hổng Collide+Power (CVE-2023-20583)
- Lỗ hổng Collide+Power làm rò rỉ dữ liệu tùy ý qua các chương trình khác nhau cũng như bất kỳ vùng an ninh nào với tốc độ lên đến 188.80 bit/giờ.
- Lỗ hổng xảy ra từ các thành phần trong CPU được chia sẻ, như các hệ thống bộ nhớ trong, kết hợp với dữ liệu của tin tặc và dữ liệu từ các ứng dụng khác dẫn đến việc rò rỉ công suất tiêu thụ điện năng.
- Nguy cơ xảy ra tấn công Collide+Power tương đối thấp với công nghệ hiện tại và khả năng trở thành mục tiêu của một cuộc tấn công bằng lỗ hổng Collide+Power với tư cách là người dùng cuối là không cao.
- Vì Collide+Power là một kỹ thuật độc lập liên quan đến vấn đề điện năng nên các biện pháp giảm thiểu khả thi phải được triển khai ở cấp độ phần cứng để ngăn chặn các xung đột dữ liệu bị khai thác, hoặc nếu ở cấp độ phần mềm hay phần cứng sẽ ngăn kẻ tấn công giám sát được tín hiệu cần thiết. | ㅤ | |
Apache Traffic Server | CVE-2022-47185 | Lỗ hổng xảy ra do xác thực đầu vào không đúng cách trên tiêu đề phạm vi trong Apache Software Foundation Apache Traffic Server, dẫn đến kiểm soát truy cập, tấn công từ chối dịch vụ (DOS) và tấn công "đầu độc" cache (cache poison) | Phiên bản bị ảnh hưởng:
8.0.0 <= version <= 8.1.7
9.0.0 <= version <= 9.2.1
Update lên version 8.1.8, 9.2.2 hoặc mới nhất. | |
Node.js release | ㅤ | Node.js đã phát hành các bản cập nhật để giải quyết các lỗ hổng tồn tại trong Node.js version v16.x, v18.x, và v20.x như sau:
- CVE-2023-32002: Các chính sách phân quyền có thể bị bypass với Module._load. Việc sử dụng Module._load() có thể bypass cơ chế chính sách và yêu cầu các module bên ngoài định nghĩa policy.json cho một module nhất định.
- CVE-2023-32004: Mô hình phân quyền bị bypass bằng cách chỉ định một chuỗi path traversal trong Buffer. Lỗ hổng này liên quan đến việc xử lý không đúng cách của Buffers trong các API hệ thống khiến traversal path được bypass khi xác minh quyền truy cập tệp.
- CVE-2023-32558: process.binding() có thể bypass mô hình phân quyền thông qua điều hướng đường dẫn. Việc sử dụng API đã không còn được khuyến nghị process.binding() có thể bypass mô hình phân quyền thông qua việc duyệt qua đường dẫn.
- CVE-2023-32006: Chính sách phân quyền có thể giả mạo các module khác bằng cách sử dụng module.constructor.createRequire(). Việc sử dụng module.constructor.createRequire() có thể bypass cơ chế chính sách và yêu cầu các module nằm ngoài định nghĩa policy.json cho một module cụ thể.
- CVE-2023-32559: Chính sách phân quyền có thể bị bypass với process.binding. Việc sử dụng API đã không còn được khuyến nghị process.binding() có thể bypass cơ chế chính sách bằng cách yêu cầu các module nội bộ và cuối cùng tận dụng process.binding('spawn_sync') để chạy mã tùy ý, nằm ngoài giới hạn được định nghĩa trong tệp policy.json.
- CVE-2023-32005: fs.statfs có thể lấy thông tin thống kê từ các tệp bị hạn chế bởi Mô hình phân quyền. Lỗ hổng này tồn tại do mô hình phân quyền không chính xác, không giới hạn được việc truy xuất thông tin về tệp tin thông qua API fs.statfs. Kết quả là, kẻ tấn công có thể lấy thông tin về các tệp tin mà họ không có quyền truy cập đọc.
- CVE-2023-32003: fs.mkdtemp() và fs.mkdtempSync() thiếu kiểm tra getValidatedPath(). Các hàm fs.mkdtemp() và fs.mkdtempSync() có thể được sử dụng để bypass kiểm tra mô hình phân quyền bằng cách tấn công qua đường dẫn.
Lỗ hổng này tồn tại do việc thiếu kiểm tra trong API fs.mkdtemp(), dẫn đến kẻ tấn công có thể tạo ra một thư mục tùy ý. | - Ảnh
hưởng đến:
+ tất cả người dùng sử dụng cơ chế chính sách thử nghiệm trong tất cả các
dòng phát hành đang hoạt động: 16.x, 18.x và 20.x.
+ tất cả người dùng sử dụng mô hình phân quyền thử nghiệm trong Node.js
Update lên các version v16.20.2, v18.17.1 hoặc v20.5.1 | |
Sentry | CVE-2023-39531 | Kẻ tấn công sử dụng các kĩ thuật khai thác phía máy khách đủ mạnh có thể truy xuất được token truy cập hợp lệ cho người dùng khác trong quá trình trao đổi token OAuth do việc xác thực thông tin đăng nhập không chính xác. Phải biết Client ID và ứng dụng API đã được ủy quyền trước đó trên tài khoản người dùng bị nhắm mục tiêu. Người dùng Sentry SaaS không cần thực hiện bất kỳ hành động nào. | Phiên bản ảnh hưởng: 10.0.0 <= version < 23.7.2
- Update lên version 23.7.2 hoặc mới nhất
- Người dùng nên xem lại xét các ứng dụng đã được ủy quyền trên tài khoản của mình và loại bỏ các ứng dụng không còn cần thiết
| |
Requests (python-requests) | CVE-2023-32681 | Requests (python-requests) là một thư viện HTTP. Requests tồn tại lỗ hổng tiềm ẩn có thể tiết lộ tiêu đề Proxy-Authorization tới máy chủ đích khi bị chuyển hướng đến một điểm cuối HTTPS. Điều này là do cách rebuild_proxies được sử dụng để gắn lại tiêu đề Proxy-Authorization vào các yêu cầu khi chuyển hướng. Lưu ý: hành vi này chỉ ảnh hưởng đến các yêu cầu thông qua proxy khi thông tin xác thực được cung cấp trong thành phần thông tin người dùng của URL (ví dụ:
https://username:password@proxy:8080). Đối với các kết nối HTTP được gửi qua tunnel, proxy sẽ xác định tiêu đề trong yêu cầu và loại bỏ nó trước khi chuyển tiếp đến máy chủ đích. Tuy nhiên, khi gửi qua HTTPS, tiêu đề Proxy-Authorization phải được gửi trong yêu cầu CONNECT vì proxy không thể nhìn thấy yêu cầu qua tunnel. Điều này dẫn đến việc Requests vô tình chuyển tiếp thông tin xác thực proxy đến máy chủ đích, cho phép kẻ tấn công có khả năng lấy cắp thông tin nhạy cảm. | Update version lên 2.31.0 | |
Mailtrail | ㅤ | Trong mailtrail có tồn tại lỗ hổng OS Command Injection chưa được xác thực trong quá trình đăng nhập. Hàm subprocess.check_output trong mailtrail/core/http.py có chứa lỗ hổng command injection trong tham số params.get("username"). Kẻ tấn công có thể khai thác lỗ hổng này bằng cách "tiêm" các lệnh OS tùy ý vào tham số username. Các lệnh được tiêm vào sẽ được thực thi với các đặc quyền của tiến trình đang chạy, dẫn đến có thể bị khai thác từ xa mà không cần xác thực. | Update lên version > 0.54 | |
Nextcloud Talk | CVE-2023-39957 | Nextcloud Talk Android cho phép người dùng thực hiện cuộc gọi video và âm thanh thông qua Nextcloud trên nền tảng Android. Trước phiên bản 17.0.0, một intent không được bảo vệ cho phép các ứng dụng bên thứ ba độc hại đánh lừa ứng dụng Talk Android để ghi các tệp tin ra ngoài thư mục bộ đệm dự định. | ㅤ | Update lên version 17.0.0 |
Nextcloud Server | CVE-2023-39958 | Nextcloud Server cung cấp lưu trữ dữ liệu cho Nextcloud, một nền tảng đám mây mã nguồn mở. Bắt đầu từ phiên bản 22.0.0 và trước các phiên bản 22.2.10.13, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4 và 27.0.1, sự thiếu bảo vệ cho phép kẻ tấn công tấn công bằng cách thử từng khóa bí mật của các khách hàng OAuth2 đã được cấu hình | - Nextcloud Server:
+ 25.0.0 <= version < 25.0.9
+ 26.0.0 <= version < 26.0.4
+ 27.0.0 <= version < 27.0.1
- Nextcloud Enterprise Server:
+ 22.0.0 <= version < 22.2.10.13
+ 23.0.0 <= version < 23.0.12.8
+ 24.0.0 <= version < 24.0.12.5
+ 25.0.0 <= version < 25.0.9
+ 26.0.0 <= version < 26.0.4
+ 27.0.0 <= version < 27.0.1
- Update Nextcloud Server lên các version 25.0.9, 26.0.4 và 27.0.1; Nextcloud Enterprise Server lên 22.2.10.13, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4 và 27.0.1 | |
Nextcloud Server/Enterprise Server | CVE-2023-39959,
CVE-2023-39961, CVE-2023-39962 CVE-2023-39963 | - CVE-2023-39959: người dùng chưa xác thực có thể gửi một yêu cầu DAV tiết lộ xem có tồn tại một lịch hoặc address bookaddress book với thông tin nhận dạng cụ thể cho nạn nhân
- CVE-2023-39961: khi một thư mục chứa hình ảnh hoặc một hình ảnh được chia sẻ mà không có quyền tải xuống, người dùng có thể thêm hình ảnh trực tiếp vào một tệp văn bản và tải xuống nó.
- CVE-2023-39962: một người dùng độc hại có thể xóa bất kỳ lưu trữ ngoài cá nhân hoặc global nào, khiến chúng không thể truy cập được cho tất cả mọi người.
- CVE-2023-39963: việc thiếu xác nhận mật khẩu cho phép kẻ tấn công, sau khi thành công trong việc đánh cắp phiên từ người dùng đã đăng nhập, tạo ra các mật khẩu ứng dụng cho nạn nhân | - Nextcloud Server:
+ 25.0.0 <= version < 25.0.9
+ 26.0.0 <= version < 26.0.4
+ 27.0.0 <= version < 27.0.1
- Nextcloud Enterprise Server:
+ 24.0.4 <= version < 24.0.12.5
+ 25.0.0 <= version < 25.0.9
+ 26.0.0 <= version < 26.0.4
+ 27.0.0 <= version < 27.0.1
- Update Nextcloud Server lên các version 25.0.9, 26.0.4 và 27.0.1; Nextcloud Enterprise Server lên 24.0.12.5, 25.0.9, 26.0.4 và 27.0.1 | |
PostgreSQL release | CVE-2023-39417,
CVE-2023-39418 | PostgreSQL vừa phát hành các bản cập nhật cho tất các các phiên bản được hỗ trợ bao gồm 15.4, 14.9, 13.12, 12.16 và 11.21, cũng như cập nhật beta thứ 3 của PostgreSQL 16. Bản phát hành này sửa hai lỗ hổng bảo mật và hơn 40 lỗi được báo cáo trong vài tháng qua. Cụ thể là:
- CVE-2023-39417: Lỗ hổng bảo mật này cho phép tấn công SQL injection thông qua việc sử dụng kịch bản mở rộng @substitutions@ trong trích dẫn.
- CVE-2023-39418: Lỗ hổng bảo mật này xảy ra khi truy vấn MERGE không áp dụng các chính sách bảo mật UPDATE hoặc SELECT cho các hàng dữ liệu. | - Phiên bản bị ảnh hưởng: 11 <= version <= 15
- Update lên các version 15.4, 14.9, 13.12, 12.16 hoặc 11.21 | |
OpenSSH release | ㅤ | OpenSSH vừa phát hành bản cập nhật 9.4 để fix một số lỗi có trong OpenSSH 9.3p2 và thêm 1 số tính năng mới, cụ thể là:
- Loại bỏ hỗ trợ cho các phiên bản cũ của libcrypto. OpenSSH hiện yêu cầu LibreSSL >= 3.1.0 hoặc OpenSSL >= 1.1.1.
- ssh-agent(1): Các module PKCS#11 phải được chỉ định bằng đường dẫn đầy đủ. Trước đây, dlopen(3) có thể tìm kiếm chúng trong các thư mục thư viện hệ thống.
- Cải thiện việc cô lập giữa các module PKCS#11 được tải bằng cách chạy các ssh-pkcs11-helpers riêng biệt cho mỗi nhà cung cấp được tải.
- ssh-agent(1), ssh(1): Cải thiện khả năng phòng ngự chống lại việc tải các module PKCS#11 không hợp lệ bằng cách kiểm tra xem module yêu cầu có chứa ký hiệu yêu cầu trước khi tải nó. ..vv... | Update OpenSSH lên version 9.4 |