8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

McAfee Database Security 6月多个安全缝隙

颁布功夫 2021-06-07

0x00 缝隙概述

McAfee 数据库安全产品可能实时�；；；；；；；；す丶滴竦氖菘�，，，，，预防其遭逢表部、内部和数据库内部的各类攻击。。。。。。

2021年06月01日，，，，，McAfee颁布安全布告，，，，，建复了Database Security中的5个安全缝隙，，，，，攻击者能够通过利用这些缝隙未授权接见、获取敏感信息或节造服务器。。。。。。

0x01 缝隙详情

本次建复的5个缝隙中，，，，，CVE-2021-23894和CVE-2021-23895是McAfee Database Security （DBSec）中的反序列化缝隙，，，，，未经认证的远程攻击者能够通过发送恶意构建的Java序列化对象到DBSec服务器来触发此缝隙，，，，，并通过在DBSec服务器上创建拥有治理员权限的反向shell来节造服务器。。。。。。

CVE-2021-31830是DBSec中的XSS缝隙，，，，，占有治理权限的攻击者能够通过在配置要监控的数据库名称时嵌入JavaScript代码，，，，，当任何授权用户登录到DBSec界面并打开该数据库的属性配置页面时，，，，，将触发恶意代码，，，，，但利用此缝隙必要用户交互。。。。。。

CVE-2021-31831是DBSec中已删除剧本的不正确接见缝隙，，，，，这些剧本被保留下来，，，，，以便在将来必要分析往事务时使用。。。。。。但经过认证的远程攻击者能够通过REST API获得对治理节造台中已象征为删除或过期的署名SQL剧本的接见，，，，，但利用此缝隙必要用户交互。。。。。。

CVE-2021-23896是DBSec治理员界面中的敏感信息明文传输缝隙，，，，，占有治理权限的攻击者能够利用此缝隙查看McAfee Insights Server的未加密密码，，，，，但利用此缝隙必要用户交互。。。。。。

CVE-ID	类型	CVSSv3评分	影响领域
CVE-2021-23894	反序列化	9.6	< 4.8.2
CVE-2021-23895	反序列化	9.0
CVE-2021-23896	信息泄露	3.2
CVE-2021-31830	XSS	5.9
CVE-2021-31831	接见节造谬误	4.9

0x02 措置建议

目前McAfee已经在DBSec 4.8.2中建复了这些缝隙，，，，，建议实时升级更新：

下载衔接：

https://www.mcafee.com/enterprise/en-us/downloads.html

0x03 参考链接

https://kc.mcafee.com/corporate/index?page=content&id=SB10359#Remediation

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23894

https://nvd.nist.gov/vuln/detail/CVE-2021-23894

0x04 功夫线

2021-06-01 McAfee颁布安全布告

2021-06-02 McAfee更新安全布告

2021-06-07 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】