1. 修復的CVE CVE-2021-2179 Nitro Software Nitro Pro是美國Nitro Software公司的一款PDF文檔編輯器軟件。該軟件支持PDF文檔編輯、PDF文檔格式轉換和PDF文檔加密等功能。Nitro Pro PDF 存在資源管理錯誤漏洞，該漏洞源于產品未能正確控制文檔的資源。攻擊者可通過該漏洞利用特殊文件導致對超時對象的多次釋放進而引發代碼執行。 CVE-2021-2162 Oracle MySQL Server是美國甲骨文（Oracle）公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞，該漏洞源于服務器內部的輸入驗證不當。以下產品及版本受到影響：MySQL Server： 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。 CVE-2021-2389 Mcafee McAfee Drive Encryption是美國邁克菲（Mcafee）公司的一個全盤加密軟件，可幫助保護 Microsoft Windows 平板電腦、筆記本電腦和臺式 PC 上的數據，防止敏感數據丟失，尤其是設備丟失或被盜造成的丟失。McAfee Drive Encryption（DE）7.3.0之前版本的Windows系統驅動程序存在安全漏洞，攻擊者可利用該漏洞通過未使用的內存緩沖區獲得提升的系統權限。 CVE-2021-2390 Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server存在輸入驗證錯誤漏洞，該漏洞的存在是由于MySQL服務器的InnoDB組件內部輸入驗證不當。遠程未經身份驗證的攻擊者可利用該漏洞可以利用這個漏洞執行拒絕服務(DoS)攻擊。該漏洞允許遠程未經身份驗證的攻擊者可利用該漏洞執行拒絕服務(DoS)攻擊。 CVE-2021-2194 Accusoft ImageGear是美國Accusoft公司的一款用于圖像處理的軟件開發工具包（SDK）。Accusoft ImageGear存在安全漏洞，該漏洞源于TIFF解析器功能-平面格式的邊界錯誤。攻擊者可利用該漏洞可以將專門制作的數據傳遞給應用程序，觸發基于堆的緩沖區溢出，并在目標系統上執行任意代碼。 CVE-2021-2146 Oracle MySQL Server是美國甲骨文（Oracle）公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞，該漏洞源于MySQL服務器的“Server： Options”組件的輸入驗證不正確。以下產品及版本受到影響：MySQL Server： 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。 CVE-2021-2372 celery是開源的一個用于分布式任務隊列的包。celery 5.2.2之前版本存在安全漏洞，該漏洞源于軟件缺少防護機制，信任存儲在后端（結果存儲）中的消息和元數據。 從后端讀取任務元數據時，數據被反序列化。 鑒于攻擊者可以訪問或以某種方式操縱 celery 后端中的元數據，他們可能會觸發存儲命令注入漏洞并有可能進一步訪問系統。 CVE-2021-2342 elFinder是一套基于Drupal平臺的、開源的AJAX文件管理器。該產品提供多文件上傳、圖像縮放等功能。elFinder.NetCore 存在路徑遍歷漏洞，該漏洞源于elFinder.NetCore的所有版本由于驗證不足，文件系統中的ExtractAsync函數很容易被任意提取。 CVE-2021-2169 Jenkins Active Choices 是 Jenkins開源的一個應用插件。用于參數化的自由式Jenkins作業中，以創建腳本化，動態和交互式作業參數。Jenkins Plugin 存在跨站腳本漏洞，該漏洞源于 Active Choices 插件 2.5.6 版本及更早版本不會轉義反應參數和動態參考參數的參數名稱。 CVE-2021-2171 Oracle MySQL Server是美國甲骨文（Oracle）公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞，該漏洞源于MySQL服務器中的Server： Replication組件的輸入驗證不正確。以下產品及版本受到影響：MySQL Server： 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。 CVE-2021-2180 Advantech R-SeeNet是中國臺灣研華（Advantech）公司的一個工業監控軟件。該軟件基于 snmp 協議進行監控平臺，并且適用于 Linux、Windows 平臺。Advantech R-SeeNet存在操作系統命令注入漏洞，該漏洞源于ping.php 的腳本功能。 CVE-2021-2154 DELL Dell EMC Unisphere for PowerMax是美國戴爾（DELL）公司的一套針對PowerMax存儲陣列的圖形化管理工具。Dell EMC Unisphere 存在安全漏洞，該漏洞源于不正確的證書驗證。未經身份驗證的遠程攻擊者可能會利用此漏洞通過提供精心制作的證書并攔截受害者的流量以查看或修改受害者的傳輸數據來執行中間人攻擊。以下產品和版本受到影響：適用于 9.1.0.17 之前的 PowerMax 版本的 Dell EMC Unisphere、適用于 9.1.0.17 之前的 PowerMax 虛擬設備版本的 Dell EMC Unisphere 和 PowerMax OS 版本 5978 。 CVE-2021-2166 Jenkins是Jenkins開源的一個應用軟件。一個開源自動化服務器Jenkins提供了數百個插件來支持構建，部署和自動化任何項目。Jenkins Generic Webhook Trigger Plugin 1.72和更早的版本存在代碼問題漏洞，該漏洞源于沒有配置XML解析器來防止XML外部實體(XXE)攻擊。 CVE-2021-2226 GitLab是美國GitLab公司的一個開源的端到端軟件開發平臺，具有內置的版本控制、問題跟蹤、代碼審查、CI/CD（持續集成和持續交付）等功能。GitLab 存在跨站腳本漏洞，該漏洞源于WEB應用缺少對客戶端數據的正確驗證。攻擊者可利用該漏洞執行客戶端代碼。 CVE-2021-2307 Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Server 存在輸入驗證錯誤漏洞，該漏洞源于MySQL服務器中的打包組件的輸入驗證不正確。以下產品及版本受到影響：MySQL Server： 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。 CVE-2021-2385 Bosch IP cameras是德國（Bosch）的網絡相機Bosch IP cameras 存在安全漏洞，該漏洞源于特制的TCP/IP數據包導致攝像頭恢復圖像telnet接口崩潰，還導致緩沖區溢出，從而啟用遠程代碼執行。 CVE-2021-35624 Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Server存在輸入驗證錯誤漏洞，該漏洞的存在是由于在MySQL服務器的Server： Security： Privileges組件中輸入驗證不正確。遠程特權用戶可以利用此漏洞操縱數據。該漏洞允許遠程特權用戶操縱數據。 CVE-2021-35604 Oracle MySQL Server是美國甲骨文（Oracle）公司的一款關系型數據庫。MySQL Server存在輸入驗證錯誤漏洞，該漏洞是由于MySQL服務器中InnoDB組件的輸入驗證不正確造成的。遠程特權用戶可以利用此漏洞破壞或刪除數據。 CVE-2022-21304 Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。Oracle MySQL Server 存在輸入驗證錯誤漏洞，該漏洞源于 MySQL Server 中的 Server： Parser 組件中的輸入驗證不正確。 遠程特權用戶可以利用此漏洞執行拒絕服務 (DoS) 攻擊。該漏洞允許遠程特權用戶執行拒絕服務 (DoS) 攻擊。 CVE-2022-21344 Oracle MySQL Server是美國甲骨文（Oracle）公司的一款關系型數據庫。MySQL Server存在輸入驗證錯誤漏洞，該漏洞的存在是由于 MySQL Server 中的 Server： Optimizer 組件中的輸入驗證不正確。遠程認證用戶可以利用此漏洞破壞或刪除數據。該漏洞允許遠程認證用戶破壞或刪除數據。 CVE-2022-21367 Oracle MySQL Server是美國甲骨文（Oracle）公司的一款關系型數據庫。MySQL Server存在輸入驗證錯誤漏洞，該漏洞的存在是由于 MySQL Server 中的 Server： Optimizer 組件中的輸入驗證不正確。遠程認證用戶可以利用此漏洞破壞或刪除數據。該漏洞允許遠程認證用戶破壞或刪除數據。 CVE-2022-21303 Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Server 存在輸入驗證錯誤漏洞，該漏洞源于 MySQL Server 中的 Server： Stored Procedure 組件中的輸入驗證不正確。 遠程特權用戶可以利用此漏洞執行拒絕服務 (DoS) 攻擊。該漏洞允許遠程特權用戶執行拒絕服務 (DoS) 攻擊。 CVE-2022-21270 Oracle MySQL Server是美國甲骨文（Oracle）公司的一款關系型數據庫。MySQL Server存在輸入驗證錯誤漏洞，該漏洞的存在是由于 MySQL Server 中的 Server： Optimizer 組件中的輸入驗證不正確。遠程認證用戶可以利用此漏洞破壞或刪除數據。該漏洞允許遠程認證用戶破壞或刪除數據。 CVE-2022-21245 Oracle MySQL Server是美國甲骨文（Oracle）公司的一款關系型數據庫。MySQL Server存在輸入驗證錯誤漏洞，該漏洞的存在是由于 MySQL Server 中的 Server： Optimizer 組件中的輸入驗證不正確。遠程認證用戶可以利用此漏洞破壞或刪除數據。該漏洞允許遠程認證用戶破壞或刪除數據。 CVE-2022-21417 Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Connectors是其中的一個連接使用MySQL的應用程序的驅動程序。Oracle MySQL 的 MySQL 服務器產品中存在輸入驗證錯誤漏洞，該漏洞允許高權限攻擊者通過多種協議進行網絡訪問來破壞 MySQL 服務器。成功攻擊此漏洞可能導致未經授權的能力導致 MySQL Server 掛起或頻繁重復崩潰（完全 DOS）。 CVE-2022-21451 Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Connectors是其中的一個連接使用MySQL的應用程序的驅動程序。Oracle MySQL 的 MySQL 服務器產品中存在輸入驗證錯誤漏洞，該漏洞允許通過多種協議進行網絡訪問的高權限攻擊者破壞 MySQL 服務器。成功攻擊此漏洞可能導致未經授權的能力導致 MySQL Server 掛起或頻繁重復崩潰（完全 DOS）。 CVE-2022-21460 Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Connectors是其中的一個連接使用MySQL的應用程序的驅動程序。Oracle MySQL 的 MySQL Server 產品中存在輸入驗證錯誤漏洞，該漏洞允許未經身份驗證的攻擊者通過多種協議進行網絡訪問來破壞 MySQL 服務器。成功攻擊此漏洞可導致未經授權訪問關鍵數據或完全訪問所有 MySQL Server 可訪問數據。 CVE-2022-21444 Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Connectors是其中的一個連接使用MySQL的應用程序的驅動程序。Oracle MySQL 的 MySQL 服務器產品中存在輸入驗證錯誤漏洞，該漏洞允許通過多種協議進行網絡訪問的高權限攻擊者破壞 MySQL 服務器。成功攻擊此漏洞可能導致未經授權的能力導致 MySQL Server 掛起或頻繁重復崩潰（完全 DOS）。 CVE-2022-21454 Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Connectors是其中的一個連接使用MySQL的應用程序的驅動程序。Oracle MySQL 的 MySQL 服務器產品中存在輸入驗證錯誤漏洞，該漏洞允許通過多種協議進行網絡訪問的高權限攻擊者破壞 MySQL 服務器。成功攻擊此漏洞可能導致未經授權的能力導致 MySQL Server 掛起或頻繁重復崩潰（完全 DOS）。 CVE-2022-21427 Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Connectors是其中的一個連接使用MySQL的應用程序的驅動程序。Oracle MySQL 的 MySQL 服務器產品中存在輸入驗證錯誤漏洞，該漏洞允許通過多種協議進行網絡訪問的高權限攻擊者破壞 MySQL 服務器。成功攻擊此漏洞可能導致未經授權的能力導致 MySQL Server 掛起或頻繁重復崩潰（完全 DOS）。 CVE-2022-21515 Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。Oracle MySQL Server 5.7.38及之前版本和8.0.29 及之前版本存在輸入驗證錯誤漏洞，該漏洞源于允許通過多種協議進行網絡訪問的高權限攻擊者破壞 MySQL 服務器，攻擊者利用該漏洞可以導致 MySQL Server 掛起或崩潰。 2. 受影響的操作系統及軟件包 ·銀河麒麟桌面操作系統V10 x86_64 架構： mysql-client、mysql-common、mysql-server、mysql-testsuite arm64 架構： mysql-client、mysql-common、mysql-server、mysql-testsuite mips64el 架構： mysql-client、mysql-common、mysql-server、mysql-testsuite 3. 軟件包修復版本 ·銀河麒麟桌面操作系統V10 5.7.39-0kord0.16.04.1+esm2 4. 修復方法 方法一：升級安裝 執行更新命令進行升級 $sudo apt update $sudo apt install mysql-server-5.7 方法二：下載軟件包進行升級安裝 通過軟件包地址下載軟件包，使用軟件包升級命令根據受影響的軟件包列表升級相關的組件包。 $sudo dpkg -i /Path1/Package1 /Path2/Package2 /Path3/Package3…… 注：Path 指軟件包下載到本地的路徑，Package指下載的軟件包名稱，多個軟件包則以空格分開。 5. 軟件包下載地址 銀河麒麟桌面操作系統V10 x86_64軟件包下載地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-client_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-common_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-server_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-testsuite_5.7.39-0kord0.16.04.1%2Besm2_all.deb arm64軟件包下載地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-client_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-common_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-server_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-testsuite_5.7.39-0kord0.16.04.1%2Besm2_all.deb mips64el軟件包下載地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-client_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-common_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-server_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-testsuite_5.7.39-0kord0.16.04.1%2Besm2_all.deb 6. 修復驗證 使用軟件包查詢命令，查看相關的軟件包版本大于或等于修復版本則成功修復。 $sudo dpkg -l |grep Package 注：Package為軟件包包名。