微软在 Perforce Helix 核心服务器中发现4个安全漏洞

1702953466_658101faa4d26615facda.png!small

微软分析师在对Perforce Helix的游戏开发工作室产品进行安全审查时,发现为游戏、政府、军事和技术等部门广泛使用的源代码管理平台 Perforce Helix Core Server 存在四大漏洞,并于今年 8 月底向 Perforce 报告了这些漏洞,其中一个漏洞被评为严重漏洞。

尽管目前微软表示尚未发现上述四个漏洞被黑客利用的迹象,但还是建议用户尽快升级到 11 月 7 日发布的 2023.1/2513900 版本,以降低风险。

Perforce Helix 核心漏洞

微软发现的四个漏洞主要涉及拒绝服务(DoS)问题,其中最严重的漏洞允许未经认证的攻击者以本地系统(LocalSystem)身份执行任意远程代码。

漏洞概述如下:

  • CVE-2023-5759(CVSS 得分 7.5): 通过 RPC 标头滥用进行未验证(DoS)。
  • CVE-2023-45849(CVSS 得分为 9.8): 以 LocalSystem 身份执行未经验证的远程代码。
  • CVE-2023-35767 (CVSS 得分为 7.5): 通过远程命令执行未经验证的 DoS。
  • CVE-2023-45319 (CVSS 得分 7.5):通过远程命令执行未验证的 DoS: 通过远程命令实施未经验证的 DoS。

其中,CVE-2023-45849 是这组漏洞中最危险的漏洞,它允许未经身份验证的黑客通过 "LocalSystem "执行代码,"LocalSystem "是一个为系统功能保留的高权限 Windows 操作系统账户,通过该账户可以访问本地资源和系统文件、修改注册表设置等。

根据调查,该漏洞的源头是由于服务器对 user-bgtask RPC 命令的错误处理。在默认配置下,Perforce 服务器允许未经身份验证的黑客以 LocalSystem 身份远程执行任意命令,包括 PowerShell 脚本。

黑客一旦成功利用 CVE-2023-45849漏洞,就能安装后门、访问敏感信息、创建或修改系统设置,并有可能完全控制运行有漏洞的 Perforce Server 版本的系统。

1702955133_6581087d73713148484b8.png!small?1702955134362

导致命令执行的函数调用链,来源:微软

其余三个漏洞的严重程度较低,但仍应该引起重视。这些漏洞允许DDos攻击,可能造成运行中断,一旦有黑客利用漏洞发起大规模攻击可能会出现重大经济损失。

保护建议

除了从供应商的下载门户下载最新版本的 Helix Core 外,微软还建议采取以下措施:

  • 定期更新第三方软件
  • 使用 VPN 或 IP 允许列表限制访问
  • 使用带有代理的 TLS 证书进行用户验证
  • 记录对 Perforce 服务器的所有访问
  • 为 IT 和安全团队设置崩溃警报
  • 使用网络分段遏制漏洞

建议广大用户遵循上述的官方安全指南提示内容。

参考来源:Microsoft discovers critical RCE flaw in Perforce Helix Core Server  

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/261786.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

路径规划之RRT *算法

系列文章目录 路径规划之Dijkstra算法 路径规划之Best-First Search算法 路径规划之A *算法 路径规划之D *算法 路径规划之PRM算法 路径规划之RRT算法 路径规划之RRT *算法 路径规划之RRT*算法 系列文章目录前言一、RRT算法1.起源2.改进2.1 重新选择父节点2.2 重新布线 3.对比…

day44代码训练|动态规划part06

完全背包和01背包问题唯一不同的地方就是,每种物品有无限件。 1. dp数组的含义 dp[i][j] 0-i物品,重量为j的容量时,最大的价值 2. 递推公式 dp[i][j] max(dp[i-1][j],dp[i][j-weight[i]]value[i]); 两种状态,不用物品i的话&…

【数论】质数

试除法判断质数 分解质因数 一个数可以被分解为质因数乘积 n ,其中的pi都是质因数 那么怎么求pi及其指数呢? 我们将i一直从2~n/i循环,如果 n%i0,那么i一定是质因数,并且用一个while循环将n除以i,一直到…

蛇梯棋[中等]

一、题目 给你一个大小为n x n的整数矩阵board,方格按从1到n2编号,编号遵循 转行交替方式 ,从左下角开始 (即,从board[n - 1][0]开始)每一行交替方向。玩家从棋盘上的方格1(总是在最后一行、第…

礼品企业网站搭建的作用是什么

礼品一般分为企业定制礼品和零售现成礼品,二者都有很强的市场需求度。同时对礼品企业而言,一般主要以批发为主,客户也主要是零售商或企业。 1、拓客难 不同于零售,即使没有引流,入驻商场或街边小摊也总会有自然客户。…

【C++篇】Vector容器 Vector嵌套容器

文章目录 🍔简述vector🎄vector存放内置数据类型⭐创建一个vector容器⭐向容器里面插入数据⭐通过迭代器访问容器里面的数据⭐遍历🎈第一种遍历方式🎈第二种遍历方式🎈第三种遍历方式 🎄vector存放自定义数…

揭秘 Go 中 Goroutines 轻量级并发

理解 Goroutines、它们的效率以及同步挑战 并发是现代软件开发的一个基本概念,使程序能够同时执行多个任务。在 Go 编程领域,理解 Goroutines 是至关重要的。本文将全面概述 Goroutines,它们的轻量级特性,如何使用 go 关键字创建…

FPGA模块——以太网(1)MDIO读写

FPGA模块——以太网MDIO读写 MDIO接口介绍MDIO接口代码(1)MDIO接口驱动代码(2)使用MDIO驱动的代码 MDIO接口介绍 MDIO是串行管理接口。MAC 和 PHY 芯片有一个配置接口,即 MDIO 接口,可以配置 PHY 芯片的工…

Ubuntu 常用命令之 ifconfig 命令用法介绍

📑Linux/Ubuntu 常用命令归类整理 ifconfig 是一个用于配置和显示 Linux 内核中网络接口的系统管理命令。它用于配置,管理和查询 TCP/IP 网络接口参数。 ifconfig 命令的参数有很多,以下是一些常见的参数 up:激活指定的网络接口…

Java学习系列(五)

1.继承 继承是java面向对象编程技术的一块基石,因为它允许创建分等级层次的类。 继承就是子类继承父类的特征和行为,使得子类对象(实例)具有父类的实例域和方法,或子类从父类继承方法,使得子类具有父类相…

实现单链表的基本操作(力扣、牛客刷题的基础笔试题常客)

本节来学习单链表的实现。在链表的刷题中,单链表占主导地位,很多oj题都在在单链表的背景下进行;而且很多链表的面试题都是以单链表为背景命题。所以,学好单链表的基本操作很重要 目录 一.介绍单链表 1.链表及单链表 2.定义一个…

生活中的物理2——人类迷惑行为(用笔扎手)

1实验 材料 笔、手 实验 1、先用手轻轻碰一下笔尖(未成年人须家长监护) 2、再用另一只手碰碰笔尾 你发现了什么?? 2发现 你会发现碰笔尖的手明显比碰笔尾的手更痛 你想想为什么 3原理 压强f/s 笔尖的面积明显比笔尾的小 …

C#文件操作(二)

一、前言 文章的续作前文是: C#文件操作(一)-CSDN博客https://blog.csdn.net/qq_71897293/article/details/135117922?spm1001.2014.3001.5501 二、流 流是序列化设备的抽象表示序列化设备可以线性方式储存数据并可按照同样的方式访问一次…

【QT】QGraphicsView和QGraphicsItem坐标转换

坐标转换 QGraphicsItem和QGraphicsView之间的坐标转换需要通过QGraphicsScene进行转换 QGraphicsView::mapToScene() - 视图 -> 场景QGraphicsView::mapFromScene() - 场景 -> 视图QGraphicsItem::mapToScene() - 图元 -> 场景QGraphicsItem::mapFromScene() - 场景 …

Java异常类分类,所有子类的父类是什么

1.异常的层次机构: 所有异常的父类是Throwable,它有两个子类,分别是Error和Exception。 2.Error: 表示系统错误,通常不能处理和恢复。比如StackOverFlowError或者OutOfMemoryError,出了问题只能结束程序…

【项目问题解决】% sql注入问题

目录 【项目问题解决】% sql注入问题 1.问题描述2.问题原因3.解决思路4.解决方案1.前端限制传入特殊字符2.后端拦截特殊字符-正则表达式3.后端拦截特殊字符-拦截器 5.总结6.参考 文章所属专区 项目问题解决 1.问题描述 在处理接口入参的一些sql注入问题,虽然通过M…

【matlab】绘制竖状双组渐变柱状图

【matlab】绘制竖状双组渐变柱状图

【krita】实时绘画 入门到精通 海报+电商+装修+人物

安装插件 首先打开comfyUI,再打开krita,出现问题提示, 打开 cd custom_nodes 输入命令 安装控件 git clone https://github.com/Acly/comfyui-tooling-nodes.git krita基础设置 设置模型 设置lora (可设置lora强度 增加更多…

使用yarn安装electron时手动选择版本

访问1Password或者其他可以提供随机字符的网站,获取随机密码运行安装命令 操作要点,必须触发Couldnt find any versions for "electron" that matches "*"才算成功 将复制的随机密码粘贴到后面 例如:yarn add --dev elec…

智能优化算法应用:基于堆优化算法3D无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用:基于堆优化算法3D无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用:基于堆优化算法3D无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.堆优化算法4.实验参数设定5.算法结果6.参考文…