首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第18周

發布時間 2020-05-06

> 本周安全態勢綜述


2020年04月27日至05月03日共收錄安全漏洞70個,值得關注的是SaltStack Salt salt-master process ClearFuncs不正確校驗方法調用漏洞; Apache IoTDB 31999端口未授權訪問漏洞;Adobe Bridge多個越界寫代碼執行漏洞;Google OpenThread MeshCoP::Commissioner::GeneratePskc緩沖區溢出漏洞;BMC Control-M/Agent OS命令注入漏洞。


本周值得關注的網絡安全事件是Sophos緊急修復防火墻中的SQL注入0day,已被野外利用;網信辦等12個部門聯合發布《網絡安全審查辦法》;Adobe發布緊急補丁,修復其3款產品中的35個漏洞;CNNIC發布《中國互聯網絡發展狀況統計報告》;谷歌研究人員披露蘋果Image I/O的零點擊漏洞。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. SaltStack Salt salt-master process ClearFuncs不正確校驗方法調用漏洞


SaltStack Salt salt-master process ClearFuncs不正確校驗方法調用,允許遠程攻擊者可以利用漏洞提交特殊的請求,可獲取用戶令牌,未授權訪問并執行命令。

https://docs.saltstack.com/en/latest/topics/releases/2019.2.4.html


2. Apache IoTDB 31999端口未授權訪問漏洞


Apache IoTDB JMX 31999端口存在未授權漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可未授權訪問并執行任意代碼。

https://lists.apache.org/thread.html/r3d2ff899ead64d2952fdc1fbb1f520ca42011ed2b4c7f786e921f6b9%40%3Cdev.iotdb.apache.org%3E


3. Adobe Bridge多個越界寫代碼執行漏洞


Adobe Bridge處理文件存在越界寫漏洞,允許遠程攻擊者利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或以應用程序上下文執行任意代碼。

https://helpx.adobe.com/security/products/bridge/apsb20-19.html


4. Google OpenThread MeshCoP::Commissioner::GeneratePskc緩沖區溢出漏洞


Google OpenThread MeshCoP::Commissioner::GeneratePskc存在緩沖區溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或以應用程序上下文執行任意代碼。

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=19386


5. BMC Control-M/Agent OS命令注入漏洞


使用TCP協議時BMC Control-M/Agent存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可注入任意OS命令。

https://herolab.usd.de/security-advisories/usd-2019-0064/


> 重要安全事件綜述


1、Sophos緊急修復防火墻中的SQL注入0day,已被野外利用



網絡安全公司Sophos于周六發布了緊急補丁以修復已經被野外利用的SQL注入0day,該漏洞影響了其XG Firewall產品。4月22日晚,Sophos公司發現黑客利用XG Firewall中的SQL注入漏洞竊取了該設備中的數據,包括防火墻設備管理員賬戶、防火墻門戶網站管理員賬戶和遠程訪問設備賬戶中的的用戶名和哈希密碼。該公司表示此次更新已經修復了該SQL注入漏洞,并且新加了特殊提醒功能使客戶知道其設備是否受到了威脅。


原文鏈接:

https://www.zdnet.com/article/hackers-are-exploiting-a-sophos-firewall-zero-day/


2、網信辦等12個部門聯合發布《網絡安全審查辦法》



原文鏈接:

http://www.cac.gov.cn/2020-04/27/c_1589535450769077.htm


3、Adobe發布緊急補丁,修復其3款產品中的35個漏洞



軟件公司Adobe于4月28日發布緊急漏洞補丁,總共修復了35個漏洞,這些漏洞影響的產品有Adobe Illustrator、Adobe Bridge和電商平臺Magento。此次安全更新修復了Windows版本Illustrator 2020中的5個代碼執行漏洞,Adobe Bridge 10.0.1及更早版本中的17個漏洞(14個可導致代碼執行漏洞,3個有關信息泄露問題),商業版本和開源版本的Magento CMS中的13個漏洞。


原文鏈接:

https://thehackernews.com/2020/04/adobe-software-updates.html


4、CNNIC發布《中國互聯網絡發展狀況統計報告》



原文鏈接:

http://news.china.com.cn/txt/2020-04/28/content_75985166.htm


5、谷歌研究人員披露蘋果Image I/O的零點擊漏洞



谷歌的Project Zero 團隊于本周二披露了Apple操作系統中內置的框架Image I/O中的零點擊漏洞,該框架被應用于iOS、macOS、tvOS和watchOS中,用來處理圖像元數據。Project Zero團隊表示,他們分析了該框架的模糊處理過程,以觀察它是如何處理格式錯誤的圖像文件。結果研究人員發現了 Image I/O 中存在6個漏洞,而蘋果向第三方公開的高動態范圍(HDR)圖像文件格式框架OpenEXR中存在8個漏洞。目前,所有漏洞都已經被修復。


原文鏈接:

https://www.zdnet.com/article/google-discloses-zero-click-bugs-impacting-several-apple-operating-systems/


上一篇 下一篇