南方站长网 – 互联网爱好者创业的站长之家
您的位置:首页 >运营 >

云安全日报210118:Ubuntu Web音频管理系统发现SQL注入漏洞,需要尽快升级

时间:2021-01-18 16:45:48 | 来源:TechWeb

原标题:云安全日报210118:Ubuntu Web音频管理系统发现SQL注入漏洞,需要尽快升级

Ubuntu是一个以桌面应用为主的Linux操作系统。它是一个开放源代码的自由软件,提供了一个健壮、功能丰富的计算环境,既适合家庭使用又适用于商业环境。Ubuntu为全球数百个公司提供商业支持。

1月14日,Ubuntu发布了安全更新,修复了Ampache-基于Web的音频文件管理系统发现的重要漏洞。以下是漏洞详情:

漏洞详情

来源:https://ubuntu.com/security/notices/USN-4693-1

1.CVE-2019-12385 严重程度:高

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

在Ubuntu Ampache搜索引擎中发现了SQL注入漏洞。任何用户都能够进行搜索可以放弃包含的任何数据在数据库中。攻击者可以利用此披露敏感信息

2.CVE-2019-12386 严重程度:中

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。

在Ubuntu Ampache基于Web的音频文件管理系统中发现一个XSS漏洞。攻击者可以利用此漏洞强制管理员创建新的特权用户。

受影响产品和版本

上述漏洞影响Ubuntu 16.04 LTS

解决方案

可以通过将系统更新为以下软件包版本来解决此问题:

Ubuntu 16.04

ampache - 3.6-rzb2779 + dfsg-0ubuntu9.2

ampache-common - 3.6-rzb2779 + dfsg-0ubuntu9.2

查看更多漏洞信息 以及升级请访问官网:

https://ubuntu.com/security/cve

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。

猜你喜欢