Ubuntu是一个主要面向桌面的Linux操作系统,作为开放源代码的自由软件,它为用户提供了强大且功能丰富的计算环境,适合家庭和商业用途。全球众多公司依赖Ubuntu提供的商业支持。
在1月14日,Ubuntu发布了安全更新,以修复AMpache音频文件管理系统中的重要漏洞。以下是漏洞的具体信息:
漏洞详情
来源: https://Ubuntu.coM/security/notices/USN-4693-1
1. CVE-2019-12385 严重程度:高
SQL注入漏洞的出现是由于Web应用程序未能有效验证或过滤用户输入数据。攻击者可以在预定义的SQL查询后添加额外的SQL语句,利用这一点进行非法操作,进而欺骗数据库服务器执行未授权的查询,获取敏感数据。
在Ubuntu AMpache搜索引擎中发现了此SQL注入漏洞,任何用户都可以进行搜索并放弃数据库中包含的任何数据,攻击者可能借此披露敏感信息。
2. CVE-2019-12386 严重程度:中
XSS攻击是通过利用网页开发中的漏洞,注入恶意代码到网页中,迫使用户加载并执行攻击者设计的网页程序。
在Ubuntu AMpache音频文件管理系统中发现了XSS漏洞,攻击者可以利用此漏洞强制管理员创建新的特权用户。
受影响的产品和版本
上述漏洞影响Ubuntu 16.04 LTS版本。
解决方案
通过将系统更新至以下软件包版本,可以解决此问题:
Ubuntu 16.04
aMpache – 3.6-Rzb2779 + dfSG-0Ubuntu9.2
aMpache-coMMon – 3.6-Rzb2779 + dfSG-0Ubuntu9.2
欲了解更多漏洞信息及升级,请访问官方网站:
https://Ubuntu.coM/security/cve
[[[IMG_1]]]
[[[IMG_2]]]
