首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第33周

發布時間 2020-08-17

> 本周安全態勢綜述


2020年08月10日至08月16日共收錄安全漏洞77個,值得關注的是Apache Struts CVE-2019-0230代碼執行漏洞;Citrix Systems XenMobile Server CVE-2020-8211未明任意代碼執行漏洞;Schneider Electric APC Easy UPS On-Line `FileUploadServlet`路徑遍歷漏洞;SAP Business Objects Business Intelligence Platform Xvfb驗證繞過漏洞; Shenzhen Hichip Vision Technology Firmware P2P服務代碼執行漏洞。


本周值得關注的網絡安全事件是FBI警告伊朗黑客利用F5 BIG-IP漏洞攻擊ADC設備;Check Point發現高通的Snapdragon芯片存在400多個漏洞;Nusenu發現未知組織劫持Tor近四分之一的出口節點;Adobe發布安全更新,修復多款產品中的26個漏洞;FBI和NSA聯合披露俄羅斯針對Linux的惡意軟件Drovorub。


根據以上綜述,本周安全威脅為中。


重要安全漏洞列表


1. Apache Struts CVE-2019-0230代碼執行漏洞


Apache Struts框架在被強制使用時,會對標簽的屬性進行二次求值漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可執行任意代碼。只有在Struts標簽屬性中強制使用OGNL表達式時,才能觸發漏洞。

https://cwiki.apache.org/confluence/display/ww/s2-059


2. Citrix Systems XenMobile Server CVE-2020-8211未明任意代碼執行漏洞


Citrix Systems XenMobile Server存在未明安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://www.auscert.org.au/bulletins/ESB-2020.2780/


3. Schneider Electric APC Easy UPS On-Line `FileUploadServlet`路徑遍歷漏洞


Schneider Electric APC Easy UPS On-Line `FileUploadServlet`存在目錄遍歷漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可上傳任意文件到任意目錄。

https://us-cert.cisa.gov/ics/advisories/icsa-20-224-02


4. SAP Business Objects Business Intelligence Platform Xvfb驗證繞過漏洞


SAP Business Objects Business Intelligence Platform Xvfb存在驗證繞過漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可未授權訪問應用。

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345


5. Shenzhen Hichip Vision Technology Firmware P2P服務代碼執行漏洞


Shenzhen Hichip Vision Technology Firmware P2P服務存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://redprocyon.com



> 重要安全事件綜述


1、FBI警告伊朗黑客利用F5 BIG-IP漏洞攻擊ADC設備



原文鏈接:

https://www.bleepingcomputer.com/news/security/fbi-iranian-hackers-trying-to-exploit-critical-f5-big-ip-flaw/


2、Check Point發現高通的Snapdragon芯片存在400多個漏洞



原文鏈接:

https://www.hackread.com/chip-flaws-turn-android-phones-into-spying-tool/


3、Nusenu發現未知組織劫持Tor近四分之一的出口節點



原文鏈接:

https://www.zdnet.com/article/a-mysterious-group-has-hijacked-tor-exit-nodes-to-perform-ssl-stripping-attacks/


4、Adobe發布安全更新,修復多款產品中的26個漏洞


原文鏈接:

https://www.bleepingcomputer.com/news/security/adobe-fixes-critical-code-execution-bugs-in-acrobat-and-reader/    


5、FBI和NSA聯合披露俄羅斯針對Linux的惡意軟件Drovorub



原文鏈接:

https://www.zdnet.com/article/fbi-and-nsa-expose-new-linux-malware-drovorub-used-by-russian-state-hackers/

上一篇 下一篇