原标题:云安全日报210118:Ubuntu Web音频管理系统发现SQL注入漏洞,需要尽快升级
Ubuntu是一个以桌面应用为主的Linux操作系统。它是一个开放源代码的自由软件,提供了一个健壮、功能丰富的计算环境,既适合家庭使用又适用于商业环境。Ubuntu为全球数百个公司提供商业支持。
1月14日,Ubuntu发布了安全更新,修复了Ampache-基于Web的音频文件管理系统发现的重要漏洞。以下是漏洞详情:
漏洞详情
来源:https://ubuntu.com/security/notices/USN-4693-1
1.CVE-2019-12385 严重程度:高
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
在Ubuntu Ampache搜索引擎中发现了SQL注入漏洞。任何用户都能够进行搜索可以放弃包含的任何数据在数据库中。攻击者可以利用此披露敏感信息
2.CVE-2019-12386 严重程度:中
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
在Ubuntu Ampache基于Web的音频文件管理系统中发现一个XSS漏洞。攻击者可以利用此漏洞强制管理员创建新的特权用户。
受影响产品和版本
上述漏洞影响Ubuntu 16.04 LTS
解决方案
可以通过将系统更新为以下软件包版本来解决此问题:
Ubuntu 16.04
ampache - 3.6-rzb2779 + dfsg-0ubuntu9.2
ampache-common - 3.6-rzb2779 + dfsg-0ubuntu9.2
查看更多漏洞信息 以及升级请访问官网:
https://ubuntu.com/security/cve