信息安全漏洞预警（2022年第6期）

1. Microsoft Internet Information Services 权限许可和访问控制问题漏洞（CNNVD-202207-906）

Microsoft Internet Information Services（IIS）是美国微软（Microsoft）公司的一款适用于Windows Server平台的Web服务器。Microsoft Internet Information Services 存在权限许可和访问控制问题漏洞。以下产品和版本受到影响：windows_server_2022、windows_server_2012、windows_10、windows_11、windows_server_2008、windows_server_2019、windows_rt_8.1、windows_8.1、windows_server_2016、windows_7。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30209

2. OpenSSL 缓冲区错误漏洞（CNNVD-202207-242）

OpenSSL是Openssl团队的一个开源的能够实现安全套接层（SSLv2/v3）和安全传输层（TLSv1）协议的通用加密库。该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 3.0.4版本存在安全漏洞，该漏洞源于在计算过程中会发生内存损坏。攻击者利用该漏洞触发远程代码执行。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=4d8a88c134df634ba610ff8db1eb8478ac5fd345

3. Apache CloudStack 安全漏洞（CNNVD-202207-1492）

Apache CloudStack 是美国阿帕奇（Apache）基金会的一套基础架构即服务（IaaS）云计算平台。该平台主要用于部署和管理大型虚拟机网络。Apache CloudStack 4.5.0 及更高版本存在安全漏洞。攻击者利用该漏洞可进行 XML 外部实体(XXE)注入攻击。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://lists.apache.org/thread/hwhxvtwp1d5dsm156bsf1cnyvtmrfv3f