升級包下載：SP_003_n_upgrade_package_2021-08-13.zip

     CVE-2021-3449: Openssl OpenSSL 代碼問題漏洞:OpenSSL是Openssl團隊的一個開源的能夠實現(xiàn)安全套接層（SSLv2/v3）和安全傳輸層（TLSv1）協(xié)議的通用加密庫.該產(chǎn)品支持多種加密算法，包括對稱密碼、哈希算法、安全散列算法等. OpenSSL 1.1.1h-1.1.1j 存在代碼問題漏洞，該漏洞導致空指針解引用，導致崩潰和拒絕服務攻擊.     目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接： https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
    CVE-2019-1551:Openssl OpenSSL 信息泄露漏洞:OpenSSL是OpenSSL團隊的一個開源的能夠實現(xiàn)安全套接層（SSLv2/v3）和安全傳輸層（TLSv1）協(xié)議的通用加密庫.該產(chǎn)品支持多種加密算法，包括對稱密碼、哈希算法、安全散列算法等. OpenSSL 1.1.1版本至1.1.1d版本和1.0.2版本至1.0.2t版本中存在信息泄露漏洞.該漏洞源于網(wǎng)絡系統(tǒng)或產(chǎn)品在運行過程中存在配置等錯誤.未授權的攻擊者可利用漏洞獲取受影響組件敏感信息.目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接： https://www.openssl.org/news/secadv/20191206.txt
    CVE-2021-22144:Elasticsearch 資源管理錯誤漏洞:Elasticsearch是荷蘭Elasticsearch公司的一套基于Lucene構建的開源分布式RESTful搜索引擎.該產(chǎn)品主要應用于云計算，并支持通過HTTP使用JSON進行數(shù)據(jù)索引. Elasticsearch 存在資源管理錯誤漏洞，該漏洞源于Grok查詢觸發(fā)Elasticsearch的過載.攻擊者可利用該漏洞觸發(fā)拒絕服務.目前廠商已發(fā)布升級補丁以修復漏洞，詳情請關注廠商主頁： https://vigilance.fr/vulnerability/Elasticsearch-denial-of-service-via-Grok-35840
   CVE-2021-32790:WordPress SQL注入漏洞:WordPress是WordPress（Wordpress）基金會的一套使用PHP語言開發(fā)的博客平臺.該平臺支持在PHP和MySQL的服務器上架設個人博客網(wǎng)站. WordPress Woocommerce存在SQL注入漏洞.該漏洞源于基于數(shù)據(jù)庫的應用缺少對外部輸入SQL語句的驗證.攻擊者可利用該漏洞執(zhí)行非法SQL命令.目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接： https://github.com/woocommerce/woocommerce/security/advisories/GHSA-7vx5-x39w-q24g
    CVE-2021-32667:跨站腳本漏洞TYPO3是瑞士TYPO3（Typo3）協(xié)會的一套免費開源的內(nèi)容管理系統(tǒng)(框架)(CMS/CMF). TYPO3存在安全漏洞，該漏洞源于當Page TSconfig設置沒有正確編碼時，相應的頁面預覽模塊(Web>View)容易受到持久的跨站點腳本攻擊.目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接： https://typo3.org/security/advisory/typo3-core-sa-2021-009 CNNVD-202107-1509
    CVE-2021-32761:Redis 輸入驗證錯誤漏洞 CVE-2021-32761 Redis Labs Redis是美國Redis Labs公司的一套開源的使用ANSI C編寫、支持網(wǎng)絡、可基于內(nèi)存亦可持久化的日志型、鍵值（Key-Value）存儲數(shù)據(jù)庫，并提供多種語言的API. Redis存在安全漏洞，該漏洞涉及將默認的“proto-max-bulk-len”配置參數(shù)更改為一個非常大的值，并構造專門制作的命令位命令. 目前廠商暫未發(fā)布修復措施解決此安全問題，建議使用此軟件的用戶隨時關注廠商主頁或參考網(wǎng)址以獲取解決辦法： https://github.com/redis/redis/security/advisories/GHSA-8wxq-j7rp-g8wj CNNVD-202107-1615 0
    CVE-2020-36311, CVE-2021-33909, CVE-2021-34693, CVE-2021-3609,CVE-2020-36311:Debian: linux安全建議(DSA-4941-1) Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel 5.9之前版本存在安全漏洞，該漏洞允許攻擊者通過觸發(fā)破壞大型SEV虛擬機來導致拒絕服務.
CVE-2021-33909:Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel存在輸入驗證錯誤漏洞，該漏洞源于一個越界寫入缺陷.
CVE-2021-34693:Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel 存在安全漏洞，該漏洞允許本地用戶從net/can/bcm.c中獲取敏感信息，因為數(shù)據(jù)結構的某些部分是未初始化的.
CVE-2021-3609:Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel 存在競爭條件問題漏洞，該漏洞源于在Linux內(nèi)核中發(fā)現(xiàn)一個缺陷，bcm_release() 和 bcm_rx_handler() 之間發(fā)生競爭條件.攻擊者可利用該漏洞導致本地權限提升 The remote host is missing an update for the 'linux'

  package(s) announced via the DSA-4941-1 advisory. 8 CVE-2020-36311:目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接： https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7be74942f184fdfba34ddd19a0d995deb34d4a03
CVE-2021-33909:目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接： https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.13.4
CVE-2021-34693:目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接： https://lore.kernel.org/netdev/trinity-87eaea25-2a7d-4aa9-92a5-269b822e5d95-1623609211076@3c-app-gmx-bs04/T/
CVE-2021-3609:目前廠商已發(fā)布升級補丁以修復漏洞，詳情請關注廠商主頁：https://access.redhat.com/security/cve/cve-2021-3609 CNNVD-202104-358,CNNVD-202107-1534,CNNVD-202106-1239,CNNVD-202106-1440.
     CVE-2021-34452:代碼注入漏洞 Microsoft Office是美國微軟（Microsoft）公司的一款辦公軟件套件產(chǎn)品.該產(chǎn)品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等. Microsoft Office存在代碼注入漏洞.以下產(chǎn)品和版本受到影響：Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft Word 2016 (64-bit edition),Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Word 2016 (32-bit edition) 目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接： https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34452 CNNVD-202107-818 0
     CVE-2021-22898, CVE-2021-22925, CVE-2021-22924:針對curl的安全建議(USN-5021-1)CVE-2021-22898:HAXX libcurl是瑞典Haxx（HAXX）公司的一款開源的客戶端URL傳輸庫。該產(chǎn)品支持FTP、SFTP、TFTP和HTTP等協(xié)議。 
curl存在安全漏洞，該漏洞源于libcurl可以將未初始化的數(shù)據(jù)從基于堆棧的緩沖區(qū)傳遞到服務器導致使用明文網(wǎng)絡協(xié)議將敏感的內(nèi)部信息泄露給服務。
CVE-2021-22925:Arch Linux是Arch開源的一個應用系統(tǒng)。一個輕量級且靈活的Linux®發(fā)行版，試圖使它保持簡單。 
Arch Linux中存在安全漏洞，該漏洞源于處理TELNET請求并解析NEW_ENV時使用了未初始化的變量，遠程攻擊者可以利用該漏最多讀取1800字節(jié)的影響控制TELNET服務器。 受影響的產(chǎn)品及版本包括:Arch Linux:所有版本
CVE-2021-22924:Arch Linux是Arch開源的一個應用系統(tǒng)。一個輕量級且靈活的Linux®發(fā)行版，試圖使它保持簡單。 
Arch Linux中存在信任管理問題漏洞，該漏洞源于產(chǎn)品的配置匹配函數(shù)不能正確處理 issuer cert 并且比較路徑時邏輯錯誤。攻擊者可通過該漏洞訪問系統(tǒng)的敏感信息。 以下產(chǎn)品及版本受到影響：libcurl-gnutls 7.78.0-1 之前版本。
CVE-2021-22898:目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接： https://curl.se/docs/CVE-2021-22898.html
CVE-2021-22925:目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接： https://security.archlinux.org/advisory/ASA-202107-63
CVE-2021-22924:目前廠商已發(fā)布升級補丁以修復漏洞，詳情請關注廠商主頁： https://security.archlinux.org/advisory/ASA-202107-63 CNNVD-202105-1685,CNNVD-202107-1582,CNNVD-202107-1569,
     CVE-2021-23017:Nginx 安全漏洞  NGINX Controller是美國F5公司的一款用于NGINX的集中式監(jiān)視和管理平臺.該平臺支持使用可視化界面管理多個NGINX實例. F5 NGINX Controller存在安全漏洞，該漏洞允許攻擊者從DNS服務器偽造UDP數(shù)據(jù)包造成1-byte的內(nèi)存覆蓋，導致工作進程崩潰或潛在的其他影響.目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接： https://www.nginx.com/blog/updating-nginx-dns-resolver-vulnerability-cve-2021-23017/ CNNVD-202105-1581 0
    CVE-2021-21341, CVE-2021-21342, CVE-2021-21343, CVE-2021-21344, CVE-2021-21345, CVE-2021-21346, CVE-2021-21347, CVE-2021-21348, CVE-2021-21349, CVE-2021-21350, CVE-2021-21351:針對xstream的安全建議(openSUSE- su -2021:1840-1) CVE-2021-21341:XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象. XStream 1.4.16 之前版本存在代碼問題漏洞，該漏洞允許遠程攻擊者根據(jù)CPU類型或此類有效負載的并行執(zhí)行，導致拒絕服務.
CVE-2021-21342:XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象. XStream 存在代碼問題漏洞，攻擊者可利用該漏洞可以操縱已處理的輸入流并替換或注入對象，從而導致服務器端偽造請求.
CVE-2021-21343:XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象. XStream 1.4.16 之前版本存在安全漏洞，攻擊者可利用該漏洞可以操縱已處理的輸入流并替換或注入對象，從而導致本地主機上的文件被刪除.
CVE-2021-21344:XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象. XStream before version 1.4.16 存在代碼問題漏洞，該漏洞允許遠程攻擊者可利用該漏洞僅通過操作已處理的輸入流，就可以從遠程主機加載和執(zhí)行任意代碼.
CVE-2021-21345:XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象. XStream 1.4.16 之前版本存在代碼問題漏洞，攻擊者可利用該漏洞僅通過操作已處理的輸入流來執(zhí)行主機的命令.
CVE-2021-21346:XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象. XStream 1.4.16 之前版本存在代碼問題漏洞，該漏洞源于遠程攻擊者僅通過操作已處理的輸入流，就可以從遠程主機加載和執(zhí)行任意代碼.
CVE-2021-21347:XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象. XStream 1.4.16之前版本存在代碼問題漏洞，該漏洞允許遠程攻擊者僅通過操作已處理的輸入流，就可以從遠程主機加載和執(zhí)行任意代碼.
CVE-2021-21348:XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象. XStream 1.4.16 之前版本存在代碼問題漏洞，該漏洞允許遠程攻擊者可以利用這個漏洞來消耗最大的CPU時間.
CVE-2021-21349:XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象. XStream 1.4.16 之前版本存在代碼問題漏洞，該漏洞源于WEB應用未充分驗證請求是否來自可信用戶.攻擊者可利用該漏洞通過受影響客戶端向服務器發(fā)送非預期的請求.
CVE-2021-21350:XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象. XStream 1.4.16 之前版本存在代碼問題漏洞，攻擊者可利用該漏洞僅通過操作已處理的輸入流來執(zhí)行任意代碼.
CVE-2021-21351:XStream是XStream（Xstream）團隊的一個輕量級的、簡單易用的開源Java類庫，它主要用于將對象序列化成XML（JSON）或反序列化為對象. XStream 1.4.16 之前版本存在代碼問題漏洞，攻擊者可利用該漏洞僅通過操作已處理的輸入流來加載和執(zhí)行遠程主機上的任意代碼.目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接： http://x-stream.github.io/changes.html#1.4.16 CNNVD-202103-1246,CNNVD-202103-1244,CNNVD-202103-1242,CNNVD-202103-1239,CNNVD-202103-1237,CNNVD-202103-1283,CNNVD-202103-1282,CNNVD-202103-1238,CNNVD-202103-1236,CNNVD-202103-1233,CNNVD-202103-1234,
    CVE-2021-36740:環(huán)境問題漏洞  Varnish Cache是一套反向網(wǎng)站緩存服務器. Varnish Enterprise 存在安全漏洞，該漏洞源于啟用 HTTP/2 的 Varnish 緩存允許通過 POST 請求的大型 Content-Length 標頭進行請求走私和VCL授權繞過.以下產(chǎn)品及版本受到影響：Varnish Enterprise 6.0.x before 6.0.8r3, and Varnish Cache 5.x and 6.x before 6.5.2, 6.6.x before 6.6.1, and 6.0 LTS before 6.0.8. 目前廠商已發(fā)布升級補丁以修復漏洞，詳情請關注廠商主頁： https://github.com/varnishcache/varnish-cache. CNNVD-202107-986     CVE-2021-22925, CVE-2021-22924, CVE-2021-22923, CVE-2021-22922, CVE-2021-22898:curl的安全建議(Fedora -2021-83fdddca0f) CVE-2021-22925, CVE-2021-22924, CVE-2021-22923, CVE-2021-22922, CVE-2021-22898 CVE-2021-22925:Arch Linux是Arch開源的一個應用系統(tǒng)。一個輕量級且靈活的Linux®發(fā)行版，試圖使它保持簡單。 
Arch Linux中存在安全漏洞，該漏洞源于處理TELNET請求并解析NEW_ENV時使用了未初始化的變量，遠程攻擊者可以利用該漏最多讀取1800字節(jié)的影響控制TELNET服務器。 受影響的產(chǎn)品及版本包括:Arch Linux:所有版本
CVE-2021-22924:Arch Linux是Arch開源的一個應用系統(tǒng)。一個輕量級且靈活的Linux®發(fā)行版，試圖使它保持簡單。 
Arch Linux中存在信任管理問題漏洞，該漏洞源于產(chǎn)品的配置匹配函數(shù)不能正確處理 issuer cert 并且比較路徑時邏輯錯誤。攻擊者可通過該漏洞訪問系統(tǒng)的敏感信息。 以下產(chǎn)品及版本受到影響：libcurl-gnutls 7.78.0-1 之前版本。
CVE-2021-22923:Arch Linux是Arch開源的一個應用系統(tǒng)。一個輕量級且靈活的Linux®發(fā)行版，試圖使它保持簡單。 
Arch Linux中存在信任管理問題漏洞，該漏洞源于該產(chǎn)品未能充分保護憑證。遠程攻擊者可利用該漏洞可以訪問目標系統(tǒng)上的敏感信息。以下產(chǎn)品及版本受到影響：Arch Linux CURL 7.78.0-1 之前版本。
CVE-2021-22922:Arch Linux是Arch開源的一個應用系統(tǒng)。一個輕量級且靈活的Linux®發(fā)行版，試圖使它保持簡單。 
Arch Linux中存在代碼問題漏洞，該漏洞源于未能充分驗證用戶輸入的XML數(shù)據(jù)，攻擊者可通過該漏洞向受影響的應用程序傳遞專門編寫的XML代碼，并查看系統(tǒng)上任意文件的內(nèi)容，或向外部系統(tǒng)發(fā)起請求。以下產(chǎn)品及版本受到影響: Arch Linux Curl 7.78.0-1 之前版本。
CVE-2021-22898:HAXX libcurl是瑞典Haxx（HAXX）公司的一款開源的客戶端URL傳輸庫。該產(chǎn)品支持FTP、SFTP、TFTP和HTTP等協(xié)議。 
curl存在安全漏洞，該漏洞源于libcurl可以將未初始化的數(shù)據(jù)從基于堆棧的緩沖區(qū)傳遞到服務器導致使用明文網(wǎng)絡協(xié)議將敏感的內(nèi)部信息泄露給服務。
CVE-2021-22925:目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接： https://security.archlinux.org/advisory/ASA-202107-63
CVE-2021-22924:目前廠商已發(fā)布升級補丁以修復漏洞，詳情請關注廠商主頁： https://security.archlinux.org/advisory/ASA-202107-63
CVE-2021-22923, CVE-2021-22922:目前廠商已發(fā)布升級補丁以修復漏洞，詳情請關注廠商主頁： https://security.archlinux.org/advisory/ASA-202107-59
CVE-2021-22898:目前廠商已發(fā)布升級補丁以修復漏洞，補丁獲取鏈接： https://curl.se/docs/CVE-2021-22898.html CNNVD-202107-1582,CNNVD-202107-1569,CNNVD-202107-1568,CNNVD-202107-1567,CNNVD-202105-1685, 0


【增加插件詳情】
1、本次月度升級包主要新增為漏掃插件，數(shù)量為632條

【影響范圍】
1、該升級包能在發(fā)布的任何版本上升級
2、升級成功后基礎庫不變，漏洞庫升級后：Vul.2021.08.13.003754，基線庫升級后：Scb.2021.08.13.003754
3、升級結束后，機器不會重啟