0x00 漏洞概述
McAfee 数据库安全产品能够实时保护关键业务的数据库,避免其遭受外部、内部和数据库内部的各种攻击。
2021年06月01日,McAfee发布安全公告,修复了Database Security中的5个安全漏洞,攻击者可以通过利用这些漏洞未授权访问、获取敏感信息或控制服务器。
0x01 漏洞详情
本次修复的5个漏洞中,CVE-2021-23894和CVE-2021-23895是McAfee Database Security (DBSec)中的反序列化漏洞,未经认证的远程攻击者可以通过发送恶意构建的Java序列化对象到DBSec服务器来触发此漏洞,并通过在DBSec服务器上创建具有管理员权限的反向shell来控制服务器。
CVE-2021-31830是DBSec中的XSS漏洞,拥有管理权限的攻击者可以通过在配置要监控的数据库名称时嵌入JavaScript代码,当任何授权用户登录到DBSec界面并打开该数据库的属性配置页面时,将触发恶意代码,但利用此漏洞需要用户交互。
CVE-2021-31831是DBSec中已删除脚本的不正确访问漏洞,这些脚本被保留下来,以便在将来需要分析旧事件时使用。但经过认证的远程攻击者可以通过REST API获得对管理控制台中已标记为删除或过期的签名SQL脚本的访问,但利用此漏洞需要用户交互。
CVE-2021-23896是DBSec管理员界面中的敏感信息明文传输漏洞,拥有管理权限的攻击者可以利用此漏洞查看McAfeeInsights Server的未加密密码,但利用此漏洞需要用户交互。
CVE-ID |
类型 |
CVSSv3评分 |
影响范围 |
CVE-2021-23894 |
反序列化 |
9.6 |
< 4.8.2 |
CVE-2021-23895 |
反序列化 |
9.0 |
CVE-2021-23896 |
信息泄露 |
3.2 |
CVE-2021-31830 |
XSS |
5.9 |
CVE-2021-31831 |
访问控制错误 |
4.9 |
0x02 处置建议
目前McAfee已经在DBSec 4.8.2中修复了这些漏洞,建议及时升级更新:
下载连接:
https://www.mcafee.com/enterprise/en-us/downloads.html
0x03 参考链接
https://kc.mcafee.com/corporate/index?page=content&id=SB10359#Remediation
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23894
https://nvd.nist.gov/vuln/detail/CVE-2021-23894
0x04 时间线
2021-06-01 McAfee发布安全公告
2021-06-02 McAfee更新安全公告
2021-06-07 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
