华云安漏洞安全周报【第140期】

根据，本周（2023.06.19~2023.06.25）CNNVD接报漏洞241个，其中信息技术产品漏洞（通用型漏洞）126个，网络信息系统漏洞（事件型漏洞）115个；CNNVD收录漏洞通报51份。

本周重点关注漏洞包括：CVE-2023-1829 Linux Kernel 权限提升漏洞、CVE-2023-34981 Apache Tomcat 信息泄露漏洞、CVE-2023-3128 Grafana 身份验证绕过漏洞、CVE-2023-31469 Apache 权限提升漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2023-1829 Linux Kernel 权限提升漏洞

威胁等级：高危

漏洞描述：

2023年06月21日，华云安思境安全团队监测发现 Kernel 官网发布安全通告，披露了 Linux Kernel 中存在用户权限提升漏洞。Kernel 是整个操作系统的最底层，它负责整个硬件的驱动，以及提供各种系统所需的核心功能。攻击者可以利用此漏洞将其权限提升为 root 权限。

情报来源：

   

 

02 CVE-2023-34981 Apache Tomcat 信息泄露漏洞

威胁等级：高危

漏洞描述：

2023年06月21日，华云安思境安全团队监测到 Apache 官方发布了安全通告，披露了 Apache Tomcat 11.0.0-M5、10.1.8、9.0.74、8.5.88 版本存在信息泄露漏洞。Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用。该漏洞是由于配置不当导致信息泄露。

情报来源：

   

03 CVE-2023-3128 Grafana 身份验证绕过漏洞

威胁等级：高危

漏洞描述：

2023年06月22日，华云安思境安全团队监测到 Grafana 官方发布安全通告，披露了 Grafana 存在身份验证绕过漏洞。Grafana 是一款用Go语言开发的开源数据可视化工具，可以做数据监控和数据统计，带有告警功能，可以分析指标和日志。当 Grafana 启用了 Azure Active Directory 身份认证时，由于Grafana 和 Azure AD 租户对于电子邮件地址的处理存在差异导致身份验证绕过。

情报来源：

   

04 CVE-2023-31469 Apache 权限提升漏洞

威胁等级：超危

漏洞描述：

2023年06月23日，华云安思境安全团队监测到 Apache 官方发布了安全通告，披露了 Apache StreamPipes 0.69.0 到0.91.0 版本存在权限提升漏洞。Apache StreamPipes 是一个工业物联网工具箱，它使非技术用户能够灵活地连接、分析和利用连续数据流。该漏洞是由于配置不当导致权限提升。

情报来源：

   

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。