• 首頁
  • 更新資訊
  • 漏洞預警
2024-07-01|最新版 OpenSSH 包含可遠端攻陷伺服器的高風險 RCE 弱點 CVE-2024-6387 預警
問題描述 OpenSSH 發佈 8.5p1 以上的新版 OpenSSH 含可遠端攻陷伺服器的高風險回歸 (漏洞 CVE-2024-6387)。
影響產品 桓基科技產品包含 C&Cmail、iSherlock、OAKlouds系列在 RHEL / Rocky / CentOS 6,7,8 使用的 OpenSSH 版本均為不受該弱點影響的版本,因此不受該弱點影響。
建議 RHEL 9 / Rocky Linux 9 中的 OpenSSH 套件更新到官方發佈的修正版本 openssh-8.7p1-38.el9_4.1 或更高的修正版本,避免受該弱點影響。
參考資料 OpenSSH: Possible Remote Code Execution Due To A Race Condition In Signal Handling (www.cve.org/CVERecord?id=CVE-2024-6387)
發布日期 2024-07-01
桓基科技在此漏洞預警的第一時間即進行所有產品之盤查,確定所有產品已不受此漏洞影響。 針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線: +886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2024-06-10|PHP 套件管理器 Composer 發現高風險漏洞 CVE-2024-35241 CVE-2024-35242 預警
問題描述 使用未更新的 Composer 工具之 install reinstall status remove 指令,從未受信任的套件源下載 PHP 原始碼可能導致遠端執行任意程式碼攻擊。
影響產品 1. 桓基科技產品包含 C&Cmail、iSherlock、OAKlouds 系列確認沒有安裝 Composer 套件管理器,因此不受該弱點影響。
2. Composer 套件管理器已修正該弱點的更新版本為 PHP Composer 2.7.7(適用於 PHP 7.2 及之後版本)與 2.2.24(適用於 PHP 5.3 至 7.1)。
3. 本公司遵循避免從不受信任或非原作者的套件源下載 PHP 原始碼,避免遭受攻擊。
參考資料 Critical Security Flaws Discovered in Popular PHP Package Manager (securityonline.info)
發布日期 2024-06-10
桓基科技在此漏洞預警的第一時間即進行所有產品之盤查,確定所有產品已不受此漏洞影響。 針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線: +886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2024-06-06|Windows 平台 XAMPP 的 PHP 預設啟用舊 cgi 模式下執行 PHP 具有遠端程式碼執行 (CVE-2024-4577) - PHP CGI 參數注入弱點
問題描述 Windows 平台的所有版本 PHP 使用舊 cgi 模式執行,會有嚴重的遠端注入程式碼弱點 CVE -2024-4577。
影響產品 桓基科技產品包含 C&Cmail、iSherlock、OAKlouds 系列目前使用 Linux 版的 PHP 和 Windows 版的 IIS (fast-cgi , php-fpm , php 模組),均不受此弱點影響。
建議 Windows 平台的 XAMPP 中的 PHP 預設開啟使用舊 cgi 模式執行 PHP ,請關閉 PHP cgi 設定,避免受弱點影響。
發布日期 2024-06-06
桓基科技在此漏洞預警的第一時間即進行所有產品之盤查,確定所有產品已不受此漏洞影響。 針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線: +886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com