【漏洞通告】OpenLiteSpeed Web Server多個安全漏洞

0x00 漏洞概述

11月10日,研究人員公開披露了OpenLiteSpeed Web Server和企業版LiteSpeed Web Server中多個漏洞的細節,這些漏洞可能導致資訊洩露、許可權提升和遠端程式碼執行。

0x01 漏洞詳情

OpenLiteSpeed是LiteSpeed Technologies 開發的高性能、輕量級的開源 HTTP 伺服器,它是LiteSpeed Web Server Enterprise的開源版本。

OpenLiteSpeed Web Server及其企業版中存在如下3個漏洞,可以通過組合利用這些漏洞遠端執行程式碼並將許可權提升為root:

CVE-2022-0072:OpenLiteSpeed目錄遍歷漏洞

OpenLiteSpeed Web Server和LiteSpeed Web Server儀表板中存在目錄遍歷漏洞,可能導致繞過安全措施並訪問被禁止的檔案。

CVE-2022-0073:OpenLiteSpeed遠端程式碼執行漏洞

OpenLiteSpeed Web Server和LiteSpeed Web Server管理儀表板容易受到命令注入漏洞的影響,獲得儀表板憑據的惡意使用者可以利用該漏洞在伺服器上執行程式碼。

CVE-2022-0074:OpenLiteSpeed許可權提升漏洞

OpenLiteSpeed Web Server和LiteSpeed Web Server容器中存在不受信任的搜尋路徑漏洞,可能導致許可權提升為root。

影響範圍

受影響產品

CVE-2022-0072

CVE-2022-0073

CVE-2022-0074

OpenLiteSpeed Web Server

1.5.11 – 1.5.12

1.6.5 – 1.6.20.1

1.7.0 – 1.7.16.1之前

1.7.0 – 1.7.16.1之前

1.6.15 – 1.7.16.1之前

LiteSpeed Web Server

0x02 安全建議

目前LiteSpeed Technologies已經修復了這些漏洞,受影響使用者可升級到OpenLiteSpeed v1.7.16.1、LiteSpeed 6.0.12 或更高版本。

OpenLiteSpeed下載連結:

https://github.com/litespeedtech/openlitespeed/tags

LiteSpeed下載連結:

https://store.litespeedtech.com/store/index.php?rp=/announcements/451

0x03 參考連結

https://unit42.paloaltonetworks.com/openlitespeed-vulnerabilities/

https://thehackernews.com/2022/11/multiple-high-severity-flaw-affect.html

0x04 版本資訊

版本

日期

修改內容

V1.0

2022-11-14

首次發佈

相關文章

【漏洞通告】F5 8月多個安全漏洞

【漏洞通告】F5 8月多個安全漏洞

0x00 漏洞概述 2022年8月3日,F5發佈安全公告,修復了其多個產品中的多個安全漏洞,這些漏洞可能導致資訊洩露、安全繞過、許可權提升和...