云安全日报210118：Ubuntu Web音频管理系统发现SQL注

Ubuntu是一个以桌面应用为主的Linux操作系统。它是一个开放源代码的自由软件，提供了一个健壮、功能丰富的计算环境，既适合家庭使用又适用于商业环境。Ubuntu为全球数百个公司提供商业支持。

1月14日，Ubuntu发布了安全更新,修复了Ampache-基于Web的音频文件管理系统发现的重要漏洞。以下是漏洞详情

漏洞详情

来源:https://ubuntu./security/notices/USN-4693-1

1.CVE-2019-12385 严重程度高

SQL注入即是指eb应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在eb应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。

在Ubuntu Ampache搜索引擎中发现了SQL注入漏洞。任何用户都能够进行搜索可以放弃包含的任何数据在数据库中。攻击者可以利用此披露敏感信息

2.CVE-2019-12386 严重程度中

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

在Ubuntu Ampache基于Web的音频文件管理系统中发现一个XSS漏洞。攻击者可以利用此漏洞强制管理员创建新的特权用户。

受影响产品和版本

上述漏洞影响Ubuntu 16.04 LTS

解决方案

可以通过将系统更新为以下软件包版本来解决此问题

Ubuntu 16.04

ampache - 3.6-rzb2779 + dfsg-0ubuntu9.2

ampache-mon - 3.6-rzb2779 + dfsg-0ubuntu9.2

查看更多漏洞信息 以及升级请访问官网

https://ubuntu./security/cve