GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

McAfee Database Security 6月多个安全缝隙

颁布功夫 2021-06-07

0x00 缝隙概述

McAfee 数据库安全产品可能实时�；す丶滴竦氖菘�，预防其遭逢表部、内部和数据库内部的各类攻击。

2021年06月01日，McAfee颁布安全布告，建复了Database Security中的5个安全缝隙，攻击者能够通过利用这些缝隙未授权接见、获取敏感信息或节造服务器。

0x01 缝隙详情

本次建复的5个缝隙中，CVE-2021-23894和CVE-2021-23895是McAfee Database Security （DBSec）中的反序列化缝隙，未经认证的远程攻击者能够通过发送恶意构建的Java序列化对象到DBSec服务器来触发此缝隙，并通过在DBSec服务器上创建拥有治理员权限的反向shell来节造服务器。

CVE-2021-31830是DBSec中的XSS缝隙，占有治理权限的攻击者能够通过在配置要监控的数据库名称时嵌入JavaScript代码，当任何授权用户登录到DBSec界面并打开该数据库的属性配置页面时，将触发恶意代码，但利用此缝隙必要用户交互。

CVE-2021-31831是DBSec中已删除剧本的不正确接见缝隙，这些剧本被保留下来，以便在将来必要分析往事务时使用。但经过认证的远程攻击者能够通过REST API获得对治理节造台中已象征为删除或过期的署名SQL剧本的接见，但利用此缝隙必要用户交互。

CVE-2021-23896是DBSec治理员界面中的敏感信息明文传输缝隙，占有治理权限的攻击者能够利用此缝隙查看McAfee Insights Server的未加密密码，但利用此缝隙必要用户交互。

CVE-ID	类型	CVSSv3评分	影响领域
CVE-2021-23894	反序列化	9.6	< 4.8.2
CVE-2021-23895	反序列化	9.0
CVE-2021-23896	信息泄露	3.2
CVE-2021-31830	XSS	5.9
CVE-2021-31831	接见节造谬误	4.9

0x02 措置建议

目前McAfee已经在DBSec 4.8.2中建复了这些缝隙，建议实时升级更新：

下载衔接：

https://www.mcafee.com/enterprise/en-us/downloads.html

0x03 参考链接

https://kc.mcafee.com/corporate/index?page=content&id=SB10359#Remediation

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23894

https://nvd.nist.gov/vuln/detail/CVE-2021-23894

0x04 功夫线

2021-06-01 McAfee颁布安全布告

2021-06-02 McAfee更新安全布告

2021-06-07 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】