1. 修复的CVE CVE-2021-2179 Nitro Software Nitro Pro是美国Nitro Software公司的一款PDF文档编辑器软件。该软件支持PDF文档编辑、PDF文档格式转换和PDF文档加密等功能。Nitro Pro PDF 存在资源管理错误漏洞，该漏洞源于产品未能正确控制文档的资源。攻击者可通过该漏洞利用特殊文件导致对超时对象的多次释放进而引发代码执行。 CVE-2021-2162 Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞，该漏洞源于服务器内部的输入验证不当。以下产品及版本受到影响：MySQL Server： 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。 CVE-2021-2389 Mcafee McAfee Drive Encryption是美国迈克菲（Mcafee）公司的一个全盘加密软件，可帮助保护 Microsoft Windows 平板电脑、笔记本电脑和台式 PC 上的数据，防止敏感数据丢失，尤其是设备丢失或被盗造成的丢失。McAfee Drive Encryption（DE）7.3.0之前版本的Windows系统驱动程序存在安全漏洞，攻击者可利用该漏洞通过未使用的内存缓冲区获得提升的系统权限。 CVE-2021-2390 Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server存在输入验证错误漏洞，该漏洞的存在是由于MySQL服务器的InnoDB组件内部输入验证不当。远程未经身份验证的攻击者可利用该漏洞可以利用这个漏洞执行拒绝服务(DoS)攻击。该漏洞允许远程未经身份验证的攻击者可利用该漏洞执行拒绝服务(DoS)攻击。 CVE-2021-2194 Accusoft ImageGear是美国Accusoft公司的一款用于图像处理的软件开发工具包（SDK）。Accusoft ImageGear存在安全漏洞，该漏洞源于TIFF解析器功能-平面格式的边界错误。攻击者可利用该漏洞可以将专门制作的数据传递给应用程序，触发基于堆的缓冲区溢出，并在目标系统上执行任意代码。 CVE-2021-2146 Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞，该漏洞源于MySQL服务器的“Server： Options”组件的输入验证不正确。以下产品及版本受到影响：MySQL Server： 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。 CVE-2021-2372 celery是开源的一个用于分布式任务队列的包。celery 5.2.2之前版本存在安全漏洞，该漏洞源于软件缺少防护机制，信任存储在后端（结果存储）中的消息和元数据。 从后端读取任务元数据时，数据被反序列化。 鉴于攻击者可以访问或以某种方式操纵 celery 后端中的元数据，他们可能会触发存储命令注入漏洞并有可能进一步访问系统。 CVE-2021-2342 elFinder是一套基于Drupal平台的、开源的AJAX文件管理器。该产品提供多文件上传、图像缩放等功能。elFinder.NetCore 存在路径遍历漏洞，该漏洞源于elFinder.NetCore的所有版本由于验证不足，文件系统中的ExtractAsync函数很容易被任意提取。 CVE-2021-2169 Jenkins Active Choices 是 Jenkins开源的一个应用插件。用于参数化的自由式Jenkins作业中，以创建脚本化，动态和交互式作业参数。Jenkins Plugin 存在跨站脚本漏洞，该漏洞源于 Active Choices 插件 2.5.6 版本及更早版本不会转义反应参数和动态参考参数的参数名称。 CVE-2021-2171 Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。MySQL Server 存在输入验证错误漏洞，该漏洞源于MySQL服务器中的Server： Replication组件的输入验证不正确。以下产品及版本受到影响：MySQL Server： 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。 CVE-2021-2180 Advantech R-SeeNet是中国台湾研华（Advantech）公司的一个工业监控软件。该软件基于 snmp 协议进行监控平台，并且适用于 Linux、Windows 平台。Advantech R-SeeNet存在操作系统命令注入漏洞，该漏洞源于ping.php 的脚本功能。 CVE-2021-2154 DELL Dell EMC Unisphere for PowerMax是美国戴尔（DELL）公司的一套针对PowerMax存储阵列的图形化管理工具。Dell EMC Unisphere 存在安全漏洞，该漏洞源于不正确的证书验证。未经身份验证的远程攻击者可能会利用此漏洞通过提供精心制作的证书并拦截受害者的流量以查看或修改受害者的传输数据来执行中间人攻击。以下产品和版本受到影响：适用于 9.1.0.17 之前的 PowerMax 版本的 Dell EMC Unisphere、适用于 9.1.0.17 之前的 PowerMax 虚拟设备版本的 Dell EMC Unisphere 和 PowerMax OS 版本 5978 。 CVE-2021-2166 Jenkins是Jenkins开源的一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建，部署和自动化任何项目。Jenkins Generic Webhook Trigger Plugin 1.72和更早的版本存在代码问题漏洞，该漏洞源于没有配置XML解析器来防止XML外部实体(XXE)攻击。 CVE-2021-2226 GitLab是美国GitLab公司的一个开源的端到端软件开发平台，具有内置的版本控制、问题跟踪、代码审查、CI/CD（持续集成和持续交付）等功能。GitLab 存在跨站脚本漏洞，该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。 CVE-2021-2307 Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Server 存在输入验证错误漏洞，该漏洞源于MySQL服务器中的打包组件的输入验证不正确。以下产品及版本受到影响：MySQL Server： 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22, 8.0.23 。 CVE-2021-2385 Bosch IP cameras是德国（Bosch）的网络相机Bosch IP cameras 存在安全漏洞，该漏洞源于特制的TCP/IP数据包导致摄像头恢复图像telnet接口崩溃，还导致缓冲区溢出，从而启用远程代码执行。 CVE-2021-35624 Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Server存在输入验证错误漏洞，该漏洞的存在是由于在MySQL服务器的Server： Security： Privileges组件中输入验证不正确。远程特权用户可以利用此漏洞操纵数据。该漏洞允许远程特权用户操纵数据。 CVE-2021-35604 Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。MySQL Server存在输入验证错误漏洞，该漏洞是由于MySQL服务器中InnoDB组件的输入验证不正确造成的。远程特权用户可以利用此漏洞破坏或删除数据。 CVE-2022-21304 Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。Oracle MySQL Server 存在输入验证错误漏洞，该漏洞源于 MySQL Server 中的 Server： Parser 组件中的输入验证不正确。 远程特权用户可以利用此漏洞执行拒绝服务 (DoS) 攻击。该漏洞允许远程特权用户执行拒绝服务 (DoS) 攻击。 CVE-2022-21344 Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。MySQL Server存在输入验证错误漏洞，该漏洞的存在是由于 MySQL Server 中的 Server： Optimizer 组件中的输入验证不正确。远程认证用户可以利用此漏洞破坏或删除数据。该漏洞允许远程认证用户破坏或删除数据。 CVE-2022-21367 Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。MySQL Server存在输入验证错误漏洞，该漏洞的存在是由于 MySQL Server 中的 Server： Optimizer 组件中的输入验证不正确。远程认证用户可以利用此漏洞破坏或删除数据。该漏洞允许远程认证用户破坏或删除数据。 CVE-2022-21303 Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Server 存在输入验证错误漏洞，该漏洞源于 MySQL Server 中的 Server： Stored Procedure 组件中的输入验证不正确。 远程特权用户可以利用此漏洞执行拒绝服务 (DoS) 攻击。该漏洞允许远程特权用户执行拒绝服务 (DoS) 攻击。 CVE-2022-21270 Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。MySQL Server存在输入验证错误漏洞，该漏洞的存在是由于 MySQL Server 中的 Server： Optimizer 组件中的输入验证不正确。远程认证用户可以利用此漏洞破坏或删除数据。该漏洞允许远程认证用户破坏或删除数据。 CVE-2022-21245 Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。MySQL Server存在输入验证错误漏洞，该漏洞的存在是由于 MySQL Server 中的 Server： Optimizer 组件中的输入验证不正确。远程认证用户可以利用此漏洞破坏或删除数据。该漏洞允许远程认证用户破坏或删除数据。 CVE-2022-21417 Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。Oracle MySQL 的 MySQL 服务器产品中存在输入验证错误漏洞，该漏洞允许高权限攻击者通过多种协议进行网络访问来破坏 MySQL 服务器。成功攻击此漏洞可能导致未经授权的能力导致 MySQL Server 挂起或频繁重复崩溃（完全 DOS）。 CVE-2022-21451 Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。Oracle MySQL 的 MySQL 服务器产品中存在输入验证错误漏洞，该漏洞允许通过多种协议进行网络访问的高权限攻击者破坏 MySQL 服务器。成功攻击此漏洞可能导致未经授权的能力导致 MySQL Server 挂起或频繁重复崩溃（完全 DOS）。 CVE-2022-21460 Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。Oracle MySQL 的 MySQL Server 产品中存在输入验证错误漏洞，该漏洞允许未经身份验证的攻击者通过多种协议进行网络访问来破坏 MySQL 服务器。成功攻击此漏洞可导致未经授权访问关键数据或完全访问所有 MySQL Server 可访问数据。 CVE-2022-21444 Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。Oracle MySQL 的 MySQL 服务器产品中存在输入验证错误漏洞，该漏洞允许通过多种协议进行网络访问的高权限攻击者破坏 MySQL 服务器。成功攻击此漏洞可能导致未经授权的能力导致 MySQL Server 挂起或频繁重复崩溃（完全 DOS）。 CVE-2022-21454 Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。Oracle MySQL 的 MySQL 服务器产品中存在输入验证错误漏洞，该漏洞允许通过多种协议进行网络访问的高权限攻击者破坏 MySQL 服务器。成功攻击此漏洞可能导致未经授权的能力导致 MySQL Server 挂起或频繁重复崩溃（完全 DOS）。 CVE-2022-21427 Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。Oracle MySQL 的 MySQL 服务器产品中存在输入验证错误漏洞，该漏洞允许通过多种协议进行网络访问的高权限攻击者破坏 MySQL 服务器。成功攻击此漏洞可能导致未经授权的能力导致 MySQL Server 挂起或频繁重复崩溃（完全 DOS）。 CVE-2022-21515 Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。Oracle MySQL Server 5.7.38及之前版本和8.0.29 及之前版本存在输入验证错误漏洞，该漏洞源于允许通过多种协议进行网络访问的高权限攻击者破坏 MySQL 服务器，攻击者利用该漏洞可以导致 MySQL Server 挂起或崩溃。 2. 受影响的操作系统及软件包 ·银河麒麟桌面操作系统V4 SP1、银河麒麟桌面操作系统V4 SP2、银河麒麟桌面操作系统V4 SP3、银河麒麟桌面操作系统V4 SP4 x86_64 架构： mysql-client、mysql-common、mysql-server、mysql-testsuite arm64 架构： mysql-client、mysql-common、mysql-server、mysql-testsuite mips64el 架构： mysql-client、mysql-common、mysql-server、mysql-testsuite 3. 软件包修复版本 ·银河麒麟桌面操作系统V4 SP1、银河麒麟桌面操作系统V4 SP2、银河麒麟桌面操作系统V4 SP3、银河麒麟桌面操作系统V4 SP4 5.7.39-0kord0.16.04.1+esm2 4. 修复方法 方法一：升级安装 执行更新命令进行升级 $sudo apt update $sudo apt install mysql-server-5.7 方法二：下载软件包进行升级安装 通过软件包地址下载软件包，使用软件包升级命令根据受影响的软件包列表升级相关的组件包。 $sudo dpkg -i /Path1/Package1 /Path2/Package2 /Path3/Package3…… 注：Path 指软件包下载到本地的路径，Package指下载的软件包名称，多个软件包则以空格分开。 5. 软件包下载地址 银河麒麟桌面操作系统V4 x86_64软件包下载地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-client_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-common_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-server_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-testsuite_5.7.39-0kord0.16.04.1%2Besm2_all.deb arm64软件包下载地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-client_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-common_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-server_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-testsuite_5.7.39-0kord0.16.04.1%2Besm2_all.deb mips64el软件包下载地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-client_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-common_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-server_5.7.39-0kord0.16.04.1%2Besm2_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/m/mysql-5.7/mysql-testsuite_5.7.39-0kord0.16.04.1%2Besm2_all.deb 6. 修复验证 使用软件包查询命令，查看相关的软件包版本大于或等于修复版本则成功修复。 $sudo dpkg -l |grep Package 注：Package为软件包包名。