Last updated at Fri, 10 May 2019 16:57:05 GMT
今天,我们宣布在四个Rapid7产品中修复了四个漏洞, 总结在下表中. 这些问题的严重程度从低到中等(主要是由于高开发需求)。, 但我们希望确保我们的客户拥有他们做出明智的安全决策所需的所有信息. This article includes detailed descriptions of the vulnerabilities, as well as how to ensure they are mitigated in your environment. 有些更新是自动的, 但有些可能需要手动操作, so we recommend you review sections about products you have deployed.
If you are a Rapid7 customer who has any questions about these issues, please don't hesitate to contact your customer success manager (CSM), 我们的支持团队, 或者在下面留言.
| Rapid7 ID | CVE | 产品 | 脆弱性 | 状态 |
|---|---|---|---|---|
| R7-2017-24 | cve - 2017 - 5252 | Insight Agent for Windows | DLL注入 | 在v1中修补.4.68 |
| R7-2017-22 | n/a | Metasploit Pro, Express, Community, Ultimate | 通过CSRF强制注销 | 在v4中修补.14.1-20170828 |
| R7-2017-26 | n/a | Logentries | 服务器端模板注入 | 2017年8月10日修补 |
| R7-2017-15 | cve - 2017 - 5248 | AppSpider职业 | 未经身份验证的报告检索 | 在v6中修补.14.077 |
cve - 2017 - 5252 || Insight Agent: DLL注入
All versions of the Insight Agent on Windows prior to version 1.4.68, 今天发布的, 是否容易加载放置在依赖项搜索路径中的恶意库. Rapid7为该漏洞分配了cve - 2017 - 5252,分类为 cwe - 426 (不受信任的搜索路径).
开发与影响
The Insight Agent searches for local dependencies in several locations. 在v1.4.68, these locations included directories in the system PATH variable. As this variable can include directories unknown to the Agent, 具有本地管理访问权限的攻击者可以在该路径中的目录中放置(可能是恶意的)DLL, causing the Agent to load that library.
This vulnerability has high potential impact, including causing the Agent to run arbitrary code, 访问本地代理数据, 和更改代理配置. 然而, 利用需要对运行Insight Agent的Windows机器进行本地管理访问, 成功的攻击只会影响那台机器上的Agent. 另外, 应该注意的是,恶意管理用户已经能够造成各种各样的损害, such as exfiltrating data and running arbitrary code. 由于本地访问和管理特权的要求,它被评为a 媒介 严重性漏洞(CVSS评分6.3).
信贷
该漏洞是由外部方发现并报告给Rapid7的.
我受影响了吗??
All versions of Insight Agent on Windows systems up to version 1.4.67易受伤害.
InsightVM客户可以通过今天添加到InsightVM的cve - 2017 - 5252扫描覆盖范围来验证部署在Windows系统上的所有Insight agent是否都已修补.
修复
Windows系统上的Insight Agent将自动更新到最新可用版本, so the majority of deployments will not require any user action.
If your Agents on Windows are pinned to a particular past version,请联系Rapid7支持,讨论将固定版本移动到当前版本.
Additional action required depending on Windows version
If you have Insight Agents deployed on Windows 7, Windows 2008, Windows 2008 R2, Windows Vista,你需要确保 KB2533623 已被应用. 这对于比这里列出的系统更新的Windows系统是自动的. KB2533623 允许设置默认的DLL目录,并且是Insight Agent v1所必需的.4.68 to be able to change the default search path, and thus to patch cve - 2017 - 5252 on the above systems. 如果你没有 KB2533623 安装v1时.4.收到68更新, 将显示并记录一个警告, but the Agent will be able to continue running on that system. 如果你申请 KB2533623 此后,v.1.4.68补丁生效.
If you have Insight Agents deployed to Windows XP和Windows 2003 systems, please consider upgrading to a newer operating system. KB2533623 无法应用于这些遗留系统,因此在Insight Agent v1中修复了cve - 2017 - 5252.4.68号无效. 如果无法升级操作系统, 我们建议审计此类系统上的访问控制,目的是尽量减少具有管理访问权限的用户数量.
The fol低ing newer Windows versions have KB2533623 已经内置,用户无需采取进一步行动:Windows 8, Windows 10, Windows Server 2012, Windows Server 2012 R2, 和Windows Server 2016.
披露时间表
- 2017年8月:漏洞被发现
- Wed, Aug 30, 2017: 脆弱性 reported to Rapid7
- Wed, Aug 30, 2017: 脆弱性 confirmed by Rapid7; cve - 2017 - 5252 assigned
- Fri, 2017年10月6日: Fix deployed in v.1.4.68年更新
R7-2017-22 || Metasploit: Forced Logout via CSRF
开发与影响
之前 4.14.1-20170828 更新,Metasploit web UI没有使用CSRF令牌验证保护web UI注销表单. 这允许攻击者通过让有效用户点击来注销他们 http://Metasploit-Server-IP:3790/logout.
这种攻击可以作为针对Metasploit实例的拒绝服务攻击, al低ing an attacker to prevent normal Metasploit usage. 然而, the attacker wouldn't be able to tell if their attempt worked, as they would not have direct access to the Metasploit instance. 除了, logging a user out doesn't impact background running tasks, 因此,对于被诱骗单击注销链接的用户来说,影响仅限于Metasploit实例的可用性. 由于需要用户交互,开发难度和有限的影响,这是一个 低 严重性漏洞(CVSS得分3.1).
信贷
Rapid7谢谢 Mishra Dhiraj 向我们报告这个漏洞,并在调查过程中进行合作.
我受影响了吗??
之前运行版本的Metasploit Pro、Express、Ultimate和Community部署 4.14.1-20170828 是脆弱的. Metasploit Framework is not affected.
修复
修复了这个问题 4.14.1-20170828 update for Metasploit commercial editions. 用户应该确保更新了他们的Metasploit Pro、Express、Ultimate和Community实例.
披露时间表
- Sun, Aug 13, 2017: 脆弱性 reported to Rapid7
- Mon, Aug 21, 2017: 脆弱性 confirmed by Rapid7
- Wed, Aug 30, 2017: Fix made available in 4.14.1-20170828
R7-2017-26 || Logentries: 服务器端模板注入
开发与影响
通过注入Angular.Js模板表达式在一个logline中, 可以强制该表达式由Logentries中呈现的日志视图进行计算. 这类似于存储的或持久的跨站点脚本(XSS)问题, 但是使用Angular模板表达式而不是Javascript表达式. 在7月26日更新之前, 恶意行为者可以创建并插入特制的日志条目, 看, could subvert the Logentries administrator’s browser session.
这是一个 媒介 严重性漏洞(CVSS评分4.3), 主要是因为需要用户交互(查看日志的行为), 然后,攻击者被限制在损害受影响用户当前浏览器会话的机密性.
信贷
Rapid7谢谢 Vini Macedo 向我们报告这个漏洞,并在调查过程中进行合作.
我受影响了吗??
2017年7月26日之前使用Logentries的用户可能会受到此问题的影响.
修复
由于修复完全在rapid7托管的Logentries日志视图中进行了本地化, all customers were effectively patched simultaneously on July 26, 2017.
披露时间表
- Mon, Jul 24, 2017: Reported to Rapid7 by Vini Macedo
- Mon, Jul 24, 2017: 脆弱性 confirmed by Rapid7
- 星期二,2017年7月26日:修复部署
cve - 2017 - 5248 || AppSpider职业: 未经身份验证的报告检索
开发与影响
在v6之前.14.077, AppSpider职业的扫描结果可以在短时间内在一个可猜测的位置上访问. 这是由于竞争条件和对临时文件缺乏足够的控制的结合. 大约30秒, 完成扫描后生成的报告可以在报告开始时使用UTC时间戳(一分钟保真度)生成的URL中使用. 攻击者可以在短时间内快速暴力攻击此报告的所有可能位置, 然后可以下载报告. 因此,攻击者可以了解有关站点漏洞配置文件的机密信息.
这是一个 媒介 严重性漏洞(CVSS评分4.8), 因为用户交互需求(启动扫描)要求攻击者在每次利用尝试时都使用暴力猜测, 虽然成功利用的最终影响是失去单个受影响报告的保密性.
信贷
Rapid7谢谢 Tad Whiteknight 向我们报告这个漏洞,并在调查过程中进行合作.
我受影响了吗??
AppSpider职业 installations running versions older than v6.14.077有潜在的脆弱性. 然而, AppSpider职业 is typically hosted on private, 本地网络, and should not be exposed directly to the internet; therefore, 为了执行这种攻击,攻击者还必须能够关联到同一网络. 此外, 未经身份验证的攻击者没有机制启动AppSpider职业扫描, and must wait until an authorized user does so.
修复
Users of AppSpider职业 must update to v6.14.077或更高版本来解决此问题.
披露时间表
- Wed, May 24, 2017: 脆弱性 reported by Tad Whiteknight
- Thu, Aug 03, 2017: cve - 2017 - 5248 reserved
- Mon, Aug 14, 2017: Fix released in v6.14.077
