云安全日报210118:Ubuntu Web音频管理系统发现SQL注入漏洞,需要尽快升级

来源:TechWeb.com.cn2021-01-18 15:50:55

Ubuntu是一个以桌面应用为主的Linux操作系统。它是一个开放源代码的自由软件,提供了一个健壮、功能丰富的计算环境,既适合家庭使用又适用于商业环境。Ubuntu为全球数百个公司提供商业支持。

1月14日,Ubuntu发布了安全更新,修复了Ampache-基于Web的音频文件管理系统发现的重要漏洞。以下是漏洞详情:

漏洞详情

来源:https://ubuntu.com/security/notices/USN-4693-1

1.CVE-2019-12385 严重程度:高

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

在Ubuntu Ampache搜索引擎中发现了SQL注入漏洞。任何用户都能够进行搜索可以放弃包含的任何数据在数据库中。攻击者可以利用此披露敏感信息

2.CVE-2019-12386 严重程度:中

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。

在Ubuntu Ampache基于Web的音频文件管理系统中发现一个XSS漏洞。攻击者可以利用此漏洞强制管理员创建新的特权用户。

受影响产品和版本

上述漏洞影响Ubuntu 16.04 LTS

解决方案

可以通过将系统更新为以下软件包版本来解决此问题:

Ubuntu 16.04

ampache - 3.6-rzb2779 + dfsg-0ubuntu9.2

ampache-common - 3.6-rzb2779 + dfsg-0ubuntu9.2

查看更多漏洞信息 以及升级请访问官网:

https://ubuntu.com/security/cve

责任编辑:JayJay

标签: Ubuntu 云安全 漏洞 管理系统 SQL注入

相关文章

要闻

原创

最新

取消