vm2 组件存在沙箱逃逸漏洞-低调大师

vm2 组件存在沙箱逃逸漏洞

2022-09-07 400

漏洞描述

vm2 是 nodejs 实现的一个沙箱环境。

受影响版本的 vm2 中，攻击者可以绕过沙箱的保护，在沙箱运行的主机上获得远程代码执行的权限。

攻击者可利用该漏洞进行远程代码执行，甚至接管沙箱所在主机。

漏洞名称	vm2 组件存在沙箱逃逸漏洞
漏洞类型	将系统数据暴露到未授权控制的范围
发现时间	2022/9/7
漏洞影响广度	一般
MPS编号	MPS-2022-51581
CVE编号	CVE-2022-36067
CNVD编号	-

影响范围

vm2@[0.1.0, 3.9.11)

修复方案

升级vm2到 3.9.11 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-51581

https://nvd.nist.gov/vuln/detail/CVE-2022-36067

https://github.com/patriksimek/vm2/security/advisories/GHSA-mrgp-mrhc-5jrq

订阅情报，并检测项目中存在的安全漏洞

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送。

官网地址： https://www.oscs1024.com/?src=osc

1、如何订阅情报

点击官网首页的订阅情报即可配置群聊机器人

订阅文档：https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

2、如何检测项目漏洞

点击漏洞详情页右下方【免费使用】，即可快速体验墨菲安全专业的检测能力。提供代码安全检测、许可证合规评估等能力，目前支持 CLI 、IDE插件、GitHub多种检测方式，欢迎使用。

核心引擎已开源：https://github.com/murphysecurity/murphysec

微信关注我们

原文链接：https://www.oschina.net/news/209561

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Indy-Node 远程代码执行漏洞

漏洞描述 Indy-Node 是分布式账本的服务端。受影响版本 Indy-Node 中的 pool-upgrade 请求处理程序允许未经正确身份验证的攻击者在网络内的节点上远程执行代码。攻击者可利用该漏洞进行远程代码执行。漏洞名称 Indy-Node 远程代码执行漏洞漏洞类型将系统数据暴露到未授权控制的范围发现时间 2022/9/7 漏洞影响广度一般 MPS编号 MPS-2022-11050 CVE编号 CVE-2022-31020 CNVD编号 - 影响范围 indy-node@(-∞, 1.12.5) 修复方案将组件 indy-node 升级至 1.12.5 及以上版本参考链接 https://www.oscs1024.com/hd/MPS-2022-11050 https://nvd.nist.gov/vuln/detail/CVE-2022-31020 https://github.com/hyperledger/indy-node/security/advisories/GHSA-r6v9-p59m-gj2p 订阅情报，并检测项目中存在的安全漏洞 ...

2022-09-07

425

v1.1.0 更新内容： 1、搭建基于 Go 语言，采用 GoFrame、Vue、ElementUI 等框架； 2、本框架采用前后端分离的软件架构设计，采用主流的编写方式； 3、采用 gf 辅助工具生成表结构对应的 model 文件，提高了开发效率； 4、框架本身集成了代码生成器，可以根据表结构一键生成模块的增删改查功能及前端 Vue 文件； 5、修复系统的 BUG 及功能模块优化；项目介绍一款 Go 语言基于 GoFrame、Vue、ElementUI、MySQL 等框架精心打造的一款模块化、插件化、高性能的前后端分离架构敏捷开发框架，可快速搭建前后端分离后台管理系统，本着简化开发、提升开发效率的初衷，框架自研了一套个性化的组件，实现了可插拔的组件式开发方式，同时为了敏捷快速开发，框架特地集成了代码生成器，完全自主研发了自定义 GO 后端服务模板和前端 Vue 自定义模板，可以根据已建好的表结构，可以快速的一键生成整个模块的所有代码和增删改查等等功能业务，真正实现了低代码开发方式，极大的节省了人力成本的同时提高了开发效率，缩短了研发周期，是一款真正意义上实现组件化、可插拔式的敏捷...

2022-09-08

406

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。