开源 OpenLiteSpeed Web Server 及其企业版本中发现多个高严重性漏洞,可被利用来实现远程代码执行。
Palo Alto Networks Unit 42 在周四的报告中指出:“攻击者可以通过链接和利用这些漏洞来破坏网络服务器并获得完全特权的远程代码执行。”
OpenLiteSpeed 是 LiteSpeed Web Server 的开源版本,是全球第六大最受欢迎的网络服务器,拥有 190 万台独立服务器。
三个缺陷中的第一个是目录遍历缺陷(CVE-2022-0072,CVSS 评分:5.8),可用于访问 Web 根目录中的受限文件。
其余两个漏洞(CVE-2022-0073 和 CVE-2022-0074,CVSS 评分:8.8)分别与权限提升和命令注入有关,它们可以串联起来实现特权代码执行。
CVE-2022-0073 由 Unit 42 研究人员 Artur Avetisyan、Aviv Sasson、Ariel Zelivansky 和 Nathaniel Quist 发现。他们表示:“无论是通过暴力攻击还是社会工程,成功获取仪表板凭据的威胁行为者都可以利用此漏洞在服务器上执行代码。”
这些问题影响 OpenLiteSpeed(从 1.5.11 到 1.7.16)和 LiteSpeed(从 5.4.6 到 6.0.11)的多个版本,并已于 2022 年 10 月 4 日负责任地披露后在 1.7.16.1 和 6.0.12 版本中修复。
——-
更新:
OLS 从 1.6 升级至 1.7.16:
大家好,
在所有连接的服务器上,我们已经使用最新补丁将 Openlitespeed 版本从 1.6 更新并升级到 1.7.16。
LiteSpeed/1.7.16 Open(BUILD 构建时间:2022 年 10 月 17 日星期一 21:33:28 UTC)。
在新配置的服务器上,您还将收到 OLS 版本 1.7.16。
要确定服务器的 OLS 版本,请使用以下命令。
/usr/local/lsws/bin/openlitespeed -v
