OpenZFS 安全机制失效漏洞 (CVE-2023-49298)

2023年11月27日下午2:00 • 漏洞

漏洞类型	输入验证不恰当	发现时间	2023-11-25	漏洞等级	中危
MPS编号	MPS-70jg-txe3	CVE编号	CVE-2023-49298	漏洞影响广度	一般

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

OpenZFS 是一种高级文件系统和卷管理器
OpenZFS 受影响版本中存在安全机制失效漏洞，涉及使用依赖高效复制文件数据的应用程序时，可能会用零值字节替换/etc/hosts.deny文件内容，从而潜在地禁用安全机制。
参考链接：https://www.oscs1024.com/hd/MPS-70jg-txe3

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
openzfs [2.1.13, 2.2.1)	升级	将组件 openzfs 升级至 2.2.1 及以上版本
参考链接：https://www.oscs1024.com/hd/MPS-70jg-txe3

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-70jg-txe3

https://nvd.nist.gov/vuln/detail/CVE-2023-49298

https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=275308

https://github.com/openzfs/zfs/issues/15526

https://github.com/openzfs/zfs/pull/15571

https://news.ycombinator.com/item?id=38405731

https://web.archive.org/web/20231124172959/https://www.ibm.com/support/pages/how-remove-missing%C2%A0newline%C2%A0or%C2%A0line%C2%A0too%C2%A0long-error-etchostsallow%C2%A0and%C2%A0etchostsdeny-files

CVE-2023-49298 漏洞

赞 (0)

NPM组件包 openssl v2.0 存在命令注入漏洞 (CVE-2023-49210)

上一篇 2023年11月26日下午2:00

Apache Superset 默认示例数据库权限提升漏洞 (CVE-2023-40610)

下一篇 2023年11月28日下午12:00

漏洞

Apache Superset Jinja 模板查询验证不当漏洞 (CVE-2023-27523)

漏洞类型输入验证不恰当发现时间 2023-09-06 漏洞等级中危 MPS编号 MPS-2023-6815 CVE编号 CVE-2023-27523 漏洞影响广度广漏洞危害 OSCS 描述 Apache Superset 是一个开源的数据可视化工具，SQL Lab和Explore支持在查询中使用Jinja模板。 Apache Superset 2….

2023年9月11日
00
漏洞

Spring Web UriComponentsBuilder URL解析不当漏洞 (CVE-2024-22243)

漏洞类型 SSRF 发现时间 2024-02-21 漏洞等级高危 MPS编号 MPS-uwzo-gx91 CVE编号 CVE-2024-22243 漏洞影响广度广漏洞危害 OSCS 描述 Spring Framework 是一个开源的Java应用程序框架，UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类。受…

2024年2月23日
00
Laravel框架limit和offset处存在SQL注入 (MPS-19wf-rmek)

漏洞类型 SQL注入发现时间 2024-05-16 漏洞等级严重 MPS编号 MPS-19wf-rmek CVE编号 – 漏洞影响广度漏洞危害 OSCS 描述 Laravel是Laravel社区的一个Web 应用程序框架。同时使用SQL Server数据库和Laravel框架，并且Web应用允许用户输入参数直接传递参数到limit和off…

漏洞 2024年5月16日
00
漏洞

XZ-Utils 5.6.0-5.6.1版本存在后门风险 (CVE-2024-3094)

漏洞类型隐藏功能发现时间 2024-03-30 漏洞等级严重 MPS编号 MPS-03mz-nh7f CVE编号 CVE-2024-3094 漏洞影响广度小漏洞危害 OSCS 描述 XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件，包含liblzma、xz等组件，已集成在Debian、Ubuntu、CentO…

2024年3月30日
00
漏洞

Atlassian Bitbucket 远程代码执行漏洞 (CVE-2023-22513)

漏洞类型输入验证不恰当发现时间 2023-09-20 漏洞等级高危 MPS编号 MPS-2023-0013 CVE编号 CVE-2023-22513 漏洞影响广度广漏洞危害 OSCS 描述 Atlassian Bitbucket 是澳大利亚Atlassian公司的一款Git代码托管解决方案。在Bitbucket Server 和 Data Cen…

2023年9月21日
00