首页 > 宁静研究 > 宁静通报 > 宁静周报

信息宁静周报-2020年第11周

宣布时间 2020-03-16

> 本周宁静态势综述

2020年03月09日至15日共收录宁静漏洞67个，值得关注的是Microsoft Server Message Block压缩算法代码执行漏洞; Apache ShardingSphere unmarshal数据处置代码执行漏洞；SAP Solution Manager验证绕过漏洞；Johnson Controls Kantech EntraPass SmartService API服务选项代码执行漏洞；Barracuda Load Balancer ADC LDAP服务配置漏洞。

本周值得关注的网络宁静事件是微软宣布针对SMBv3漏洞的KB4551762宁静更新；Whisper数据库可果然访问，泄露约9亿条记录；欧洲电力运营商联盟ENTSO-E办公网络遭黑客入侵；我国8项网络宁静国家尺度获批宣布；两种新的AMD侧信道攻击，影响Zen架构。

凭据以上综述，本周宁静威胁为中。

>重要宁静漏洞列表

1. Microsoft Server Message Block压缩算法代码执行漏洞

Microsoft Server Message Block SMBv3协议在处置恶意压缩数据包存在宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，可以系统上下文执行任意代码。

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796

2. Apache ShardingSphere unmarshal数据处置代码执行漏洞

Apache ShardingSphere WEB控制台SnakeYAML解析数据存在宁静漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，可以应用法式上下文执行任意代码。

https://lists.apache.org/thread.html/r4a61a24c119bd820da6fb02100d286f8aae55c8f9b94a346b9bb27d8%40%3Cdev.shardingsphere.apache.org%3E

3. SAP Solution Manager验证绕过漏洞

SAP Solution Manager验证检查存在宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，通过SMDAgents未授权访问。

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305

4. Johnson Controls Kantech EntraPass SmartService API服务选项代码执行漏洞

Johnson Controls Kantech EntraPass SmartService API服务选项存在代码上传漏洞，允许远程攻击者利用漏洞提交特殊的上传请求，可以应用法式上下文执行任意代码。

https://www.us-cert.gov/ics/advisories/icsa-20-070-04

5. Barracuda Load Balancer ADC LDAP服务配置漏洞

Barracuda Load Balancer ADC LDAP服务配置存在宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，可未授权访问LDAP服务。

https://blog.rapid7.com/2020/03/05/r7-2019-39-cve-2019-5648-ldap-credential-exposure-in-barracuda-load-balancer-adc-fixed/

> 重要宁静事件综述

1、微软宣布针对SMBv3漏洞的KB4551762宁静更新

尊龙抖圈 - 为du而生

微软今天早些时候宣布了针对SMBv3 RCE漏洞（CVE-2020-0796）的补丁更新（KB4551762），用户可以通过Windows Update检查更新或从微软补丁目录（https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762）上手动下载适合自己Windows版本的KB4551762。微软体现虽然没有发现利用此漏洞的攻击，但建议用户优先安装此更新。此漏洞也被称为SMBGhost或EternalDarkness，仅影响运行Windows 10版本1903和1909以及Windows Server Server Core安装版本1903和1909的设备。

原文链接：

https://www.bleepingcomputer.com/news/security/microsoft-releases-kb4551762-security-update-for-smbv3-vulnerability/

2、Whisper数据库可果然访问，泄露约9亿条记录

尊龙抖圈 - 为du而生

据《华盛顿邮报》报道，匿名秘密共享应用Whisper由于数据库可果然访问，导致约9亿条记录泄露。研究人员Matthew Porter和Dan Ehrlich发现了该数据库，数据库中存储的数据是从2012年该APP宣布一直到现在的所有数据。尽管记录中不包罗用户名，但其中包罗昵称、年龄、种族、性别、家乡、团体成员关系以及与发帖相关的位置数据。这些位置信息包罗来自用户最近发帖的坐标，例如特定的学校、事情场所和居民区。Whisper在接到通知后取消了该数据库的访问权限，并通知了联邦执法机构。

原文链接：

https://www.zdnet.com/article/whisper-an-anonymous-secret-sharing-app-failed-to-keep-messages-profiles-private/

3、欧洲电力运营商联盟ENTSO-E办公网络遭黑客入侵

尊龙抖圈 - 为du而生

欧洲电力运营商联盟（ENTSO-E）在一份简短的声明中体现，近期其办公网络遭到黑客入侵。由于该办公网络并未连接到任何运营中的电力传输系统，这意味着攻击仅限于IT系统，没有影响要害控制系统。ENTSO-E总部位于布鲁塞尔，由35个欧洲国家的42家电网运营商组成。ENTSO-E体现已经进行了风险评估和制定了应急计划，以减少进一步攻击的风险和影响，但没有透露与入侵何时开始以及谁可能对攻击卖力有关的详细信息。

原文链接：

https://www.cyberscoop.com/european-entso-breach-fingrid/

4、我国8项网络宁静国家尺度获批宣布

尊龙抖圈 - 为du而生

凭据2020年3月6日国家市场监督管理总局、国家尺度化管理委员会宣布的中华人民共和国国家尺度通告（2020年第1号），全国信息宁静尺度化技术委员会归口的GB/T 35273-2020《信息宁静技术个人信息宁静规范》等8项国家尺度正式宣布。具体清单包罗GB/T 17901.1-2020《信息技术宁静技术秘钥管理第1部门：框架》、GB/T 38540-2020《信息宁静技术宁静电子签章密码技术规范》、GB/T 38541-2020《信息宁静技术电子文件密码应用指南》、GB/T 38543-2020《信息宁静技术基于生物特征识此外移动智能终端身份鉴别技术框架》、GB/T 38556-2020《信息宁静技术动态口令密码应用技术规范》、GB/T 338558-2020《信息宁静技术办公设备宁静测试要领》以及GB/T 38561-2020《信息宁静技术网络宁静管理支撑系统技术要求》。所有8项尺度的实施日期都是2020-10-01。

原文链接：

https://www.tc260.org.cn/front/postDetail.html?id=20200307152229

5、两种新的AMD侧信道攻击，影响Zen架构

尊龙抖圈 - 为du而生

格拉茨技术大学宣布的一篇新论文详细介绍了两种新的AMD CPU侧信道攻击，即Collide+Probe和Load+Reload攻击，攻击者可通过利用L1D缓存预测变量来泄漏AMD处置器的机密数据。研究人员称该漏洞影响了从2011年到2019年的所有AMD处置器，这意味着Zen架构一ㄜ到影响。该大学体现它已于2019年8月23日向AMD披露了这些漏洞，但AMD尚未宣布微代码更新，并称这些攻击并不是新的基于推测的攻击。

原文链接：

https://www.zdnet.com/article/amd-processors-from-2011-to-2019-vulnerable-to-two-new-attacks/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究

信息宁静周报-2020年第11周

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线