1. 修复的CVE信息
CVE-2021-2169
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器的“服务器优化器”组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2201
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器中服务器:分区组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2203
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器的“服务器优化器”组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2226
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器中的Server: Information Schema组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2164
Jenkins是Jenkins开源的一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Dashboard View Plugin 2.15版本及之前存在跨站脚本漏洞。该漏洞源于程序无法避免Image Dashboard Portlet中引用的URL。
CVE-2021-2278
Schneider Electric EcoStruxure Control Expert(前称Unity Pro)是法国施耐德电气(Schneider Electric)公司的一套用于Schneider Electric逻辑控制器产品的编程软件。Schneider Electric EcoStruxure Control Expert 多款产品存在安全漏洞,该漏洞源于当与不受信任的源共享受密码保护的项目文件时,这可能导致对该文件的未经授权访问。攻击者可利用该漏洞绕过密码保护,并能够查看和修改项目文件。
CVE-2021-2166
Jenkins是Jenkins开源的一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Generic Webhook Trigger Plugin 1.72和更早的版本存在代码问题漏洞,该漏洞源于没有配置XML解析器来防止XML外部实体(XXE)攻击。
CVE-2021-2208
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器中服务器:分区组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2146
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器的“Server: Options”组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2162
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞,该漏洞源于服务器内部的输入验证不当。以下产品及版本受到影响:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2308
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器中的Server: Information Schema组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2193
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器的“服务器优化器”组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2194
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器InnoDB组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2196
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器中的服务器:DML组件输入验证不正确。以下产品及版本受到影响:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2293
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器中存储过程组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2305
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器中的服务器:DML组件输入验证不正确。以下产品及版本受到影响:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2212
Fortinet FortiSandbox是美国飞塔(Fortinet)公司的一款APT(高级持续性威胁)防护设备。该设备提供双重沙盒技术、动态威胁智能系统、实时控制面板和报告等功能。FortiSandbox 存在操作系统命令注入漏洞,该漏洞源于FortiSandbox嗅探模块输入验证不当。攻击者可利用该漏洞修改模块配置文件的内容并执行任意的操作系统命令。
CVE-2021-2300
F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。BIG-IP 存在安全漏洞,该漏洞源于无限循环而存在。以下产品及版本受到影响:BIG-IP: 15.1.0, 15.1.0.1, 15.1.0.2, 15.1.0.4, 15.1.0.5, 15.1.1, 15.1.2, 15.1.2.1, 16.0.0, 16.0.1 。
CVE-2021-2299
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器的“服务器优化器”组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2298
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器的“服务器优化器”组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2307
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器中的打包组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2179
Advantech R-SeeNet是中国台湾研华(Advantech)公司的一个工业监控软件。该软件基于 snmp 协议进行监控平台,并且适用于 Linux、Windows 平台。Advantech R-SeeNet v2.4.12存在跨站脚本漏洞,该漏洞源于如果用户访问一个特殊设计的URL,它可能导致在目标用户的浏览器上下文中执行任意的JavaScript代码。
CVE-2021-2172
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器中的服务器:DML组件输入验证不正确。以下产品及版本受到影响:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2217
GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。GitLab GitLab存在代码问题漏洞,该漏洞源于启用对内部网络的 webhooks 请求。当启用对内部网络的 webhooks 请求时,即使在禁用注册的 GitLab 实例上,所有受影响版本的服务器端跨站请求伪造漏洞可能被未经身份验证的攻击者利用。
CVE-2021-2230
Huawei 手机是中国华为(Huawei)公司的华为的智能手机。华为智能手机存在处理逻辑错误漏洞,该漏洞源于安装在设备上的恶意应用程序可以在后台持续截屏。此问题不会导致系统错误,但可能导致个人信息泄露。
CVE-2021-2170
EasyApache是Apache基金会的一个功能强大且易于使用的工具,内置在WHM/cPanel中,可以使用它来更新和配置Apache web服务器。EasyApache 存在安全漏洞,该漏洞源于EasyApache中PDO_Firebird的缓冲区溢出。攻击者可利用该漏洞触发拒绝服务,并可能运行代码。
CVE-2021-2232
Huawei 手机是中国华为(Huawei)公司的华为的智能手机。华为智能手机存在安全漏洞。成功利用这些漏洞可能会将权限升级为根用户的权限。
CVE-2021-2215
Blackberry BlackBerry UEM是加拿大黑莓(Blackberry)公司的一款跨设备运行设备、应用程序与内容管理的平台。该平台通过单一的集成式管理面板即可让企业查看环境中的全部用户、设备、应用程序和策略。Blackberry BlackBerry Unified Endpoint Manager 存在安全漏洞。攻击者可通过程序的管理控制台使用多个漏洞。
CVE-2021-2171
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器中的Server: Replication组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2304
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器中存储过程组件的输入验证不正确。以下产品及版本受到影响:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。
CVE-2021-2301
F5 NGINX Controller是美国F5公司的一款用于NGINX的集中式监视和管理平台。该平台支持使用可视化界面管理多个NGINX实例。F5 NGINX Controller存在安全漏洞,该漏洞源于集群内通信不使用TLS,NGINX控制器3中的服务在3.4.0之前的命名空间在集群内使用明文协议。攻击者可利用该漏洞读取和修改在受影响控制器内管理的服务之间发送的数据。
CVE-2021-2180
Advantech R-SeeNet是中国台湾研华(Advantech)公司的一个工业监控软件。该软件基于 snmp 协议进行监控平台,并且适用于 Linux、Windows 平台。Advantech R-SeeNet存在操作系统命令注入漏洞,该漏洞源于ping.php 脚本功能中存在操作系统命令注入漏洞。
2. 受影响的软件包
银河麒麟桌面操作系统V10 SP1
libmysqlclient-dev
libmysqlclient21
mysql-client
mysql-client-8.0
mysql-client-core-8.0
mysql-router
mysql-server
mysql-server-8.0
mysql-server-core-8.0
mysql-source-8.0
mysql-testsuite
mysql-testsuite-8.0
3. 影响的操作系统
银河麒麟桌面操作系统V10 SP1
4. 修复版本
软件包:mysql-8.0
8.0.25-0kylin0.20.04.1(V10 SP1)
5. 修复方法
方法一:配置源进行升级安装
打开软件包源配置文件,根据仓库地址进行修改。
4.0.2桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2-desktop main restricted universe multiverse
4.0.2-sp1桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp1-desktop main restricted universe multiverse
4.0.2-sp2桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp2-desktop main restricted universe multiverse
4.0.2-sp3桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp3-desktop main restricted universe multiverse
4.0.2-sp4桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp4-desktop main restricted universe multiverse
10.0版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 10.0 main restricted universe multiverse
10SP1版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1 main restricted universe multiverse
配置完成后执行更新命令进行升级。$sudo apt update
方法二:下载安装包进行升级安装
通过软件包地址下载软件包,使用软件包升级命令根据受影响的组件包列表 升级相关的组件包。$dpkg -i Packagelists
6. 软件包下载地址
银河麒麟桌面操作系统V10 SP1
X86下载地址
