首頁 > 安全研究 > 安全通報 > 安全通告

McAfee Database Security 6月多個安全漏洞

發布時間 2021-06-07

0x00 漏洞概述

McAfee 數據庫安全產品能夠實時保護關鍵業務的數據庫,避免其遭受外部、內部和數據庫內部的各種攻擊。

2021年06月01日,McAfee發布安全公告,修復了Database Security中的5個安全漏洞,攻擊者可以通過利用這些漏洞未授權訪問、獲取敏感信息或控制服務器。

 

0x01 漏洞詳情

image.png

本次修復的5個漏洞中,CVE-2021-23894和CVE-2021-23895是McAfee Database Security (DBSec)中的反序列化漏洞,未經認證的遠程攻擊者可以通過發送惡意構建的Java序列化對象到DBSec服務器來觸發此漏洞,并通過在DBSec服務器上創建具有管理員權限的反向shell來控制服務器。

CVE-2021-31830是DBSec中的XSS漏洞,擁有管理權限的攻擊者可以通過在配置要監控的數據庫名稱時嵌入JavaScript代碼,當任何授權用戶登錄到DBSec界面并打開該數據庫的屬性配置頁面時,將觸發惡意代碼,但利用此漏洞需要用戶交互。

CVE-2021-31831是DBSec中已刪除腳本的不正確訪問漏洞,這些腳本被保留下來,以便在將來需要分析舊事件時使用。但經過認證的遠程攻擊者可以通過REST API獲得對管理控制臺中已標記為刪除或過期的簽名SQL腳本的訪問,但利用此漏洞需要用戶交互。

CVE-2021-23896是DBSec管理員界面中的敏感信息明文傳輸漏洞,擁有管理權限的攻擊者可以利用此漏洞查看McAfee Insights Server的未加密密碼,但利用此漏洞需要用戶交互。

 

CVE-ID

類型

CVSSv3評分

影響范圍

CVE-2021-23894

反序列化

9.6

<   4.8.2

CVE-2021-23895

反序列化

9.0

CVE-2021-23896

信息泄露

3.2

CVE-2021-31830

XSS

5.9

CVE-2021-31831

訪問控制錯誤

4.9

 

 

0x02 處置建議

目前McAfee已經在DBSec 4.8.2中修復了這些漏洞,建議及時升級更新:

下載連接:

https://www.mcafee.com/enterprise/en-us/downloads.html

 

0x03 參考鏈接

https://kc.mcafee.com/corporate/index?page=content&id=SB10359#Remediation

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23894

https://nvd.nist.gov/vuln/detail/CVE-2021-23894

 

0x04 時間線

2021-06-01  McAfee發布安全公告

2021-06-02  McAfee更新安全公告

2021-06-07  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

上一篇 下一篇