- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
漏洞综述
漏洞背景
Apache Guacamole 是一个基于 HTML 5 和 JavaScript 的 VNC 查看器,提供了远程桌面的解决方案,使用户可以通过浏览器操控虚拟机,适用于Chrome,Firefox,IE10等浏览器(浏览器需要支持HTML5)。近日,新华三攻防实验室威胁预警团队监测到Apache官方发布了安全公告,修复了Apache Guacamole中的授权不当漏洞(CVE-2021-43999)和信息泄露漏洞(CVE-2021-41767),建议受影响用户尽快安装更新补丁,避免受到影响。
漏洞详情
1. CVE-2021-43999 Apache Guacamole授权不当漏洞
该漏洞是由于Apache Guacamole无法正确验证使用SAML 身份的用户,如果启用 SAML 支持,恶意攻击者能够利用该漏洞假扮为Guacamole正常用户,从而登录系统。
漏洞等级:高危
2. CVE-2021-41767 Apache Guacamole信息泄露漏洞
该漏洞是由于Apache Guacamole在某些 REST 响应的非私有详细信息中包含私有隧道标识符, 从而导致经过身份验证且具有特定连接权限的恶意攻击者,能够利用该漏洞获取私有隧道标识符,并且使用该连接对另一用户的连接活动进行交互。
漏洞等级:中危
影响范围
1. CVE-2021-43999
Apache Guacamole = 1.2.0
Apache Guacamole = 1.3.0
2. CVE-2021-41767
Apache Guacamole <= 1.3.0
处置方法
■ 官方补丁
目前官方已发布最新版本,请受影响用户尽快更新。官方链接:https://guacamole.apache.org/releases/1.4.0/
■ 临时修复建议
对于暂时无法升级最新版本的用户,可以在业务环境允许的情况下,使用白名单方法限制web端口访问,从而降低风险。
参考链接
https://lists.apache.org/thread/5l31k4jmzdsfz0xt8osrbl878gb3b7ro
产品与解决方案
