1. 修復的CVE信息
CVE-2021-2169
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器的“服務器優化器”組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2201
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器中服務器:分區組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2203
Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器的“服務器優化器”組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2226
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器中的Server: Information Schema組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2164
Jenkins是Jenkins開源的一個應用軟件。一個開源自動化服務器Jenkins提供了數百個插件來支持構建,部署和自動化任何項目。Jenkins Dashboard View Plugin 2.15版本及之前存在跨站腳本漏洞。該漏洞源于程序無法避免Image Dashboard Portlet中引用的URL。
CVE-2021-2278
Schneider Electric EcoStruxure Control Expert(前稱Unity Pro)是法國施耐德電氣(Schneider Electric)公司的一套用于Schneider Electric邏輯控制器產品的編程軟件。Schneider Electric EcoStruxure Control Expert 多款產品存在安全漏洞,該漏洞源于當與不受信任的源共享受密碼保護的項目文件時,這可能導致對該文件的未經授權訪問。攻擊者可利用該漏洞繞過密碼保護,并能夠查看和修改項目文件。
CVE-2021-2166
Jenkins是Jenkins開源的一個應用軟件。一個開源自動化服務器Jenkins提供了數百個插件來支持構建,部署和自動化任何項目。Jenkins Generic Webhook Trigger Plugin 1.72和更早的版本存在代碼問題漏洞,該漏洞源于沒有配置XML解析器來防止XML外部實體(XXE)攻擊。
CVE-2021-2208
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器中服務器:分區組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2146
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器的“Server: Options”組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2162
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于服務器內部的輸入驗證不當。以下產品及版本受到影響:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2308
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器中的Server: Information Schema組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2193
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器的“服務器優化器”組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2194
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器InnoDB組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2196
Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器中的服務器:DML組件輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2293
Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器中存儲過程組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2305
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器中的服務器:DML組件輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2212
Fortinet FortiSandbox是美國飛塔(Fortinet)公司的一款APT(高級持續性威脅)防護設備。該設備提供雙重沙盒技術、動態威脅智能系統、實時控制面板和報告等功能。FortiSandbox 存在操作系統命令注入漏洞,該漏洞源于FortiSandbox嗅探模塊輸入驗證不當。攻擊者可利用該漏洞修改模塊配置文件的內容并執行任意的操作系統命令。
CVE-2021-2300
F5 BIG-IP是美國F5公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。BIG-IP 存在安全漏洞,該漏洞源于無限循環而存在。以下產品及版本受到影響:BIG-IP: 15.1.0, 15.1.0.1, 15.1.0.2, 15.1.0.4, 15.1.0.5, 15.1.1, 15.1.2, 15.1.2.1, 16.0.0, 16.0.1 。
CVE-2021-2299
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器的“服務器優化器”組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2298
Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器的“服務器優化器”組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2307
Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器中的打包組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2179
Advantech R-SeeNet是中國臺灣研華(Advantech)公司的一個工業監控軟件。該軟件基于 snmp 協議進行監控平臺,并且適用于 Linux、Windows 平臺。Advantech R-SeeNet v2.4.12存在跨站腳本漏洞,該漏洞源于如果用戶訪問一個特殊設計的URL,它可能導致在目標用戶的瀏覽器上下文中執行任意的JavaScript代碼。
CVE-2021-2172
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器中的服務器:DML組件輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2217
GitLab是美國GitLab公司的一款使用Ruby on Rails開發的、自托管的、Git(版本控制系統)項目倉庫應用程序。該程序可用于查閱項目的文件內容、提交歷史、Bug列表等。GitLab GitLab存在代碼問題漏洞,該漏洞源于啟用對內部網絡的 webhooks 請求。當啟用對內部網絡的 webhooks 請求時,即使在禁用注冊的 GitLab 實例上,所有受影響版本的服務器端跨站請求偽造漏洞可能被未經身份驗證的攻擊者利用。
CVE-2021-2230
Huawei 手機是中國華為(Huawei)公司的華為的智能手機。華為智能手機存在處理邏輯錯誤漏洞,該漏洞源于安裝在設備上的惡意應用程序可以在后臺持續截屏。此問題不會導致系統錯誤,但可能導致個人信息泄露。
CVE-2021-2170
EasyApache是Apache基金會的一個功能強大且易于使用的工具,內置在WHM/cPanel中,可以使用它來更新和配置Apache web服務器。EasyApache 存在安全漏洞,該漏洞源于EasyApache中PDO_Firebird的緩沖區溢出。攻擊者可利用該漏洞觸發拒絕服務,并可能運行代碼。
CVE-2021-2232
Huawei 手機是中國華為(Huawei)公司的華為的智能手機。華為智能手機存在安全漏洞。成功利用這些漏洞可能會將權限升級為根用戶的權限。
CVE-2021-2215
Blackberry BlackBerry UEM是加拿大黑莓(Blackberry)公司的一款跨設備運行設備、應用程序與內容管理的平臺。該平臺通過單一的集成式管理面板即可讓企業查看環境中的全部用戶、設備、應用程序和策略。Blackberry BlackBerry Unified Endpoint Manager 存在安全漏洞。攻擊者可通過程序的管理控制臺使用多個漏洞。
CVE-2021-2171
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器中的Server: Replication組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2304
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。MySQL Server 存在輸入驗證錯誤漏洞,該漏洞源于MySQL服務器中存儲過程組件的輸入驗證不正確。以下產品及版本受到影響:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2301
F5 NGINX Controller是美國F5公司的一款用于NGINX的集中式監視和管理平臺。該平臺支持使用可視化界面管理多個NGINX實例。F5 NGINX Controller存在安全漏洞,該漏洞源于集群內通信不使用TLS,NGINX控制器3中的服務在3.4.0之前的命名空間在集群內使用明文協議。攻擊者可利用該漏洞讀取和修改在受影響控制器內管理的服務之間發送的數據。
CVE-2021-2180
Advantech R-SeeNet是中國臺灣研華(Advantech)公司的一個工業監控軟件。該軟件基于 snmp 協議進行監控平臺,并且適用于 Linux、Windows 平臺。Advantech R-SeeNet存在操作系統命令注入漏洞,該漏洞源于ping.php 腳本功能中存在操作系統命令注入漏洞。
2. 受影響的軟件包
銀河麒麟桌面操作系統V10 SP1
libmysqlclient-dev
libmysqlclient21
mysql-client
mysql-client-8.0
mysql-client-core-8.0
mysql-router
mysql-server
mysql-server-8.0
mysql-server-core-8.0
mysql-source-8.0
mysql-testsuite
mysql-testsuite-8.0
3. 影響的操作系統
銀河麒麟桌面操作系統V10 SP1
4. 修復版本
軟件包:mysql-8.0
8.0.25-0kylin0.20.04.1(V10 SP1)
5. 修復方法
方法一:配置源進行升級安裝
打開軟件包源配置文件,根據倉庫地址進行修改。
4.0.2桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2-desktop main restricted universe multiverse
4.0.2-sp1桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp1-desktop main restricted universe multiverse
4.0.2-sp2桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp2-desktop main restricted universe multiverse
4.0.2-sp3桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp3-desktop main restricted universe multiverse
4.0.2-sp4桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp4-desktop main restricted universe multiverse
10.0版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 10.0 main restricted universe multiverse
10SP1版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1 main restricted universe multiverse
配置完成后執行更新命令進行升級。$sudo apt update
方法二:下載安裝包進行升級安裝
通過軟件包地址下載軟件包,使用軟件包升級命令根據受影響的組件包列表 升級相關的組件包。$dpkg -i Packagelists
6. 軟件包下載地址
銀河麒麟桌面操作系統V10 SP1
X86下載地址
