【缝隙公告】OpenLiteSpeed Web Server多个安全缝隙

颁布功夫 2022-11-14

0x00 缝隙概述

11月10日, ,, ,,,钻研人员公开披露了OpenLiteSpeed Web Server和企业版LiteSpeed Web Server中多个缝隙的细节, ,, ,,,这些缝隙可能导致信息泄露、权限提升和远程代码执行 。 。。。。。。。

 

0x01 缝隙详情

OpenLiteSpeed 是LiteSpeed Technologies 开发的高机能、轻量级的开源 HTTP 服务器, ,, ,,,它是LiteSpeed Web Server Enterprise的开源版本 。 。。。。。。。

OpenLiteSpeed Web Server及其企业版中存在如下3个缝隙, ,, ,,,能够通过组合利用这些缝隙远程执行代码并将权限提升为root:

CVE-2022-0072 :OpenLiteSpeed目录遍历缝隙

OpenLiteSpeed Web Server和LiteSpeed Web Server仪表板中存在目录遍历缝隙, ,, ,,,可能导致绕过安全措施并接见被不容的文件 。 。。。。。。。

CVE-2022-0073 :OpenLiteSpeed远程代码执行缝隙

OpenLiteSpeed Web Server和LiteSpeed Web Server治理仪表板容易受到号令注入缝隙的影响, ,, ,,,获得仪表板痛处的恶意用户能够利用该缝隙在服务器上执行代码 。 。。。。。。。

CVE-2022-0074 :OpenLiteSpeed权限提升缝隙

OpenLiteSpeed Web Server和LiteSpeed Web Server容器中存在不受信赖的搜索蹊径缝隙, ,, ,,,可能导致权限提升为root 。 。。。。。。。

 

影响领域 

受影响产品

CVE-2022-0072

CVE-2022-0073

CVE-2022-0074

OpenLiteSpeed Web Server

1.5.11 - 1.5.12

1.6.5 - 1.6.20.1

1.7.0 - 1.7.16.1之前

1.7.0 - 1.7.16.1之前

1.6.15 - 1.7.16.1之前

LiteSpeed Web Server

 

0x02 安全建议

目前LiteSpeed Technologies已经建复了这些缝隙, ,, ,,,受影响用户可升级到OpenLiteSpeed v1.7.16.1、LiteSpeed 6.0.12 或更高版本 。 。。。。。。。

OpenLiteSpeed下载链接:

https://github.com/litespeedtech/openlitespeed/tags

LiteSpeed下载链接:

https://store.litespeedtech.com/store/index.php?rp=/announcements/451

 

0x03 参考链接

https://unit42.paloaltonetworks.com/openlitespeed-vulnerabilities/

https://thehackernews.com/2022/11/multiple-high-severity-flaw-affect.html

 

0x04 版本信息

版本

日期

批改内容

V1.0

2022-11-14

初次颁布

 

 

0x05 附录

8827太阳集团简介

8827太阳集团成立于1996年, ,, ,,,是由留美博士严望佳女士创建的、占有齐全自主知识产权的信息安全高科技企业 。 。。。。。。。是国内最具实力的信息安全产品、安全服务解决规划的领航企业之一 。 。。。。。。。

公司总部位于北京市中关村软件园8827太阳集团大厦, ,, ,,,公司员工6000余人, ,, ,,,研发团队1200余人, 技术服务团队1300余人 。 。。。。。。。在全国各省、视注自治区设立分支机构六十多个, ,, ,,,占有覆盖全国的销售系统、渠路系统和技术支持系统 。 。。。。。。。公司于2010年6月23日在丽江中幼板挂牌上市 。 。。。。。。。(股票代码:002439)

多年来, ,, ,,,8827太阳集团致力于提供拥有国际竞争力的自主创新的安全产品和最佳实际服务, ,, ,,,援手客户全面提升其IT基础设施的安全性和出产效力, ,, ,,,为打造和提升国际化的民族信息安全产业领军品牌而不懈致力 。 。。。。。。。

 

关于8827太阳集团

8827太阳集团安全应急响应中心重要针对沉要安全缝隙的预警、跟踪和分享全球最新的威胁谍报和安全汇报 。 。。。。。。。

关注以下公家号, ,, ,,,获取全球最新安全资讯:

image.png