信息安全漏洞预警 2022年第2期

1.Siemens Mendix 安全漏洞（CNNVD-202203-739）

Siemens Mendix 是德国西门子（Siemens）公司的一套低代码应用程序开发平台。该平台提供应用程序开发、测试、部署和迭代等功能。Siemens Mendix Forgot Password Appstore module 3.3.0版本至 3.5.1 之前版本存在安全漏洞，该漏洞源于受影响版本中初始密码的生成方式不安全。攻击者可利用该漏洞使用暴力破解来破解密码。目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://cert-portal.siemens.com/productcert/pdf/ssa-134279.pdf

2.Linux kernel 安全漏洞（CNNVD-202203-2027）

Linux kernel 是美国 Linux 基金会的开源操作系统Linux所使用的内核。Linux kernel 5.16.15 之前版本存在安全漏洞，该漏洞源于net/ipv4/esp4.c 和 net/ipv6/esp6.c 中IPsec ESP 代码存在缓冲区溢出导致。本地攻击者可利用该漏洞通过覆盖内核堆对象提升用户权限。目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog5.16.15

3.Apache HTTP Server 缓冲区错误漏洞（CNNVD-202203-1270）

Apache HTTP Server 是美国阿帕奇（Apache）基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API 进行扩充的特点。Apache HTTP Server 2.4.0 至 2.4.52 版本的mod_sed 中存在缓冲区错误漏洞，攻击者可利用该漏洞使用自己提供的数据覆盖堆内存。目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://httpd.apache.org/security/vulnerabilities_24.html