信息安全漏洞预警 2022年第5期

1. Schneider Electric IGSS Data Server 缓冲区错误漏洞（CNNVD-202206-2008）

Schneider Electric IGSS Data Server 是法国施耐德电气（Schneider Electric）公司的一个交互式图形Scada 系统的数据服务器。Schneider Electric IGSS Data Server 15.0.0.22140 之前版本存在缓冲区错误漏洞，该漏洞源于产品存在边界错误。远程攻击者可以利用该漏洞发送特制消息，触发内存损坏并在目标系统上执行任意代码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：http://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-165-01_IGSS_Security_Notification.pdf。

2. Redis Labs Redis 安全漏洞（CNNVD-202206-2252）

Redis Labs Redis 是美国 Redis Labs 公司的一套开源的使用ANSI C 编写、支持网络、可基于内存亦可持久化的日志型、键值（Key-Value）存储数据库，并提供多种语言的API。Redis v7.0 版本存在安全漏洞。攻击者利用该漏洞通过组件streamGetEdgeID 导致内存泄漏。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://github.com/redis/redis/commit/4a7a4e42db8ff757cdf3f4a824f66426036034ef。

3. Apache Hadoop 安全漏洞（CNNVD-202206-1079）

Apache Hadoop 是美国阿帕奇（Apache）基金会的一套开源的分布式系统基础架构。该产品能够对大量数据进行分布式处理，并具有高可靠性、高扩展性、高容错性等特点。Apache Hadoop 存在安全漏洞，该漏洞源于libhdfs 库存在堆缓冲区溢出。攻击者利用该漏洞诱使用户打开恶意文件，从而进行拒绝服务攻击或执行任意代码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://lists.apache.org/thread/2h56ztcj3ojc66qzf1nno88vjw9vd4wo。