0x00 漏洞概述

McAfee 数据库安全产品能够实时保护关键业务的数据库,避免其遭受外部、内部和数据库内部的各种攻击。

2021年06月01日,McAfee发布安全公告,修复了Database Security中的5个安全漏洞,攻击者可以通过利用这些漏洞未授权访问、获取敏感信息或控制服务器。

0x01 漏洞详情

本次修复的5个漏洞中,CVE-2021-23894和CVE-2021-23895是McAfee Database Security (DBSec)中的反序列化漏洞,未经认证的远程攻击者可以通过发送恶意构建的Java序列化对象到DBSec服务器来触发此漏洞,并通过在DBSec服务器上创建具有管理员权限的反向shell来控制服务器。

CVE-2021-31830是DBSec中的XSS漏洞,拥有管理权限的攻击者可以通过在配置要监控的数据库名称时嵌入JavaScript代码,当任何授权用户登录到DBSec界面并打开该数据库的属性配置页面时,将触发恶意代码,但利用此漏洞需要用户交互。

CVE-2021-31831是DBSec中已删除脚本的不正确访问漏洞,这些脚本被保留下来,以便在将来需要分析旧事件时使用。但经过认证的远程攻击者可以通过REST API获得对管理控制台中已标记为删除或过期的签名SQL脚本的访问,但利用此漏洞需要用户交互。

CVE-2021-23896是DBSec管理员界面中的敏感信息明文传输漏洞,拥有管理权限的攻击者可以利用此漏洞查看McAfeeInsights Server的未加密密码,但利用此漏洞需要用户交互。

CVE-ID

类型

CVSSv3评分

影响范围

CVE-2021-23894

反序列化

9.6

< 4.8.2

CVE-2021-23895

反序列化

9.0

CVE-2021-23896

信息泄露

3.2

CVE-2021-31830

XSS

5.9

CVE-2021-31831

访问控制错误

4.9

0x02 处置建议

目前McAfee已经在DBSec 4.8.2中修复了这些漏洞,建议及时升级更新:

下载连接:

https://www.mcafee.com/enterprise/en-us/downloads.html

0x03 参考链接

https://kc.mcafee.com/corporate/index?page=content&id=SB10359#Remediation

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23894

https://nvd.nist.gov/vuln/detail/CVE-2021-23894

0x04 时间线

2021-06-01 McAfee发布安全公告

2021-06-02 McAfee更新安全公告

2021-06-07 VSRC发布安全通告

0x05 附录

CVSS评分标准官网:http://www.first.org/cvss/

声明:本文来自维他命安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。