本周CNVD整理和发布以下重要安全漏洞信息

1、Apache产品安全漏洞

Apache Superset up是美国 （Apache）公司的一个提供大型分布式环境中横向扩展设计应用软件。Apache Ozone是一个面向Hadoop和云原生环境的可伸缩，冗余和分布式对象存储。Apache Tapestry是一款使用Java语言编写的Web应用程序框架。Apache OFBiz是一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache Dubbo是一款基于Java的高性能开源RPC框架。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞进行未授权访问，创建一个可能是恶意的外部URL，使用特殊构造的URL下载WEB-INF中的文件等。

CNVD收录的相关漏洞包括：Apache Ozone授权问题漏洞、Apache Superset输入验证错误漏洞、Apache Tapestry信息泄露漏洞、Apache Tapestry反序列化漏洞、Apache OFBiz代码问题漏洞、Apache OFBiz远程代码执行漏洞、Apache Dubbo任意代码执行漏洞、Apache Dubbo反序列化漏洞（CNVD-2021-39669）。其中，除“Apache Ozone授权问题漏洞、Apache Superset输入验证错误漏洞、Apache Tapestry信息泄露漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-38304

https://www.cnvd.org.cn/flaw/show/CNVD-2021-38303

https://www.cnvd.org.cn/flaw/show/CNVD-2021-38302

https://www.cnvd.org.cn/flaw/show/CNVD-2021-38301

https://www.cnvd.org.cn/flaw/show/CNVD-2021-38305

https://www.cnvd.org.cn/flaw/show/CNVD-2021-38782

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39670

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39669

2、IBM产品安全漏洞

IBM Cognos Analytics是美国IBM公司的一套商业智能软件。IBM Spectrum Scale是一套基于IBM GPFS（专为PB级存储管理而优化的企业文件管理系统）的可扩展的数据及文件管理解决方案。IBM Security Verify Access是一款提高用户访问安全的服务。IBM WebSphere Exteme Scale是一个弹性的，高度可扩展的内存数据网格。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码等。

CNVD收录的相关漏洞包括：IBM Cognos Analytics XML外部实体注入漏洞（CNVD-2021-38673）、IBM Cognos Analytics信息泄露漏洞（CNVD-2021-38672）、IBM Cognos Analytics命令执行漏洞、IBM Cognos Analytics跨站脚本漏洞（CNVD-2021-38670）、IBM Spectrum Scale权限提升漏洞（CNVD-2021-38676）、IBM Security Verify Access缓冲区溢出漏洞、IBM WebSphere eXtreme Scale信息泄露漏洞（CNVD-2021-39041）、IBM Engineering Systems Design Rhapsody访问控制错误漏洞。其中，除“IBM Cognos Analytics信息泄露漏洞（CNVD-2021-38672）、IBM Cognos Analytics跨站脚本漏洞（CNVD-2021-38670）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-38673

https://www.cnvd.org.cn/flaw/show/CNVD-2021-38672

https://www.cnvd.org.cn/flaw/show/CNVD-2021-38671

https://www.cnvd.org.cn/flaw/show/CNVD-2021-38670

https://www.cnvd.org.cn/flaw/show/CNVD-2021-38676

https://www.cnvd.org.cn/flaw/show/CNVD-2021-38675

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39041

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39675

3、Microsoft产品安全漏洞

Microsoft Excel是Microsoft公司的办公软件Microsoft office的组件之一，是一款电子表格程序。本周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞实现远程代码执行。

CNVD收录的相关漏洞包括：Microsoft Excel远程代码执行漏洞（CNVD-2021-39509、CNVD-2021-39508、CNVD-2021-39512、CNVD-2021-39511、CNVD-2021-39510、CNVD-2021-39516、CNVD-2021-39515、CNVD-2021-39517）。其中，除“Microsoft Excel远程代码执行漏洞（CNVD-2021-39515）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39509

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39508

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39512

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39511

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39510

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39516

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39515

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39517

4、ASUS产品安全漏洞

ASUS BMC Firmware是中国华硕（ASUS）公司的一个固件。本周，上述产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞终止Web服务。

CNVD收录的相关漏洞包括：ASUS BMC Firmware缓冲区溢出漏洞（CNVD-2021-39576、CNVD-2021-39575、CNVD-2021-39578、CNVD-2021-39577、CNVD-2021-39580、CNVD-2021-39579、CNVD-2021-39582、CNVD-2021-39581）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39576

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39575

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39578

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39577

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39580

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39579

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39582

https://www.cnvd.org.cn/flaw/show/CNVD-2021-39581

5、Red Hat Ansible信息泄露漏洞（CNVD-2021-39044）

Red Hat Ansible是美国红帽（Red Hat）公司的一款计算机系统配置管理器。该产品可用于发布、管理和编排计算机系统。Ansible Tower是其中的一个提供了用户界面（UI）、仪表板和REST API的任务控制应用程序。本周，Red Hat Ansible Tower被披露存在信息泄露漏洞。攻击者可利用该漏洞获取受影响组件敏感信息。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2021-39044

小结：本周，Apache产品被披露存在多个漏洞，攻击者可利用漏洞进行未授权访问，创建一个可能是恶意的外部URL，使用特殊构造的URL下载WEB-INF中的文件等。此外，IBM、Microsoft、ASUS等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码、终止Web服务等。另外，Red Hat Ansible Tower被披露存在信息泄露漏洞。攻击者可利用漏洞获取受影响组件敏感信息。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。