首页 > 宁静研究 > 宁静通报 > 宁静周报

信息宁静周报-2020年第18周

宣布时间 2020-05-06

> 本周宁静态势综述

2020年04月27日至05月03日共收录宁静漏洞70个，值得关注的是SaltStack Salt salt-master process ClearFuncs不正确校验要领调用漏洞; Apache IoTDB 31999端口未授权访问漏洞；Adobe Bridge多个越界写代码执行漏洞；Google OpenThread MeshCoP::Commissioner::GeneratePskc缓冲区溢出漏洞；BMC Control-M/Agent OS命令注入漏洞。

本周值得关注的网络宁静事件是Sophos紧急修复防火墙中的SQL注入0day，已被野外利用；网信办等12个部门联合宣布《网络宁静审查措施》；Adobe宣布紧急补丁，修复其3款产物中的35个漏洞；CNNIC宣布《中国互联网络生长状况统计陈诉》；谷歌研究人员披露苹果Image I/O的零点击漏洞。

凭据以上综述，本周宁静威胁为中。

>重要宁静漏洞列表

1. SaltStack Salt salt-master process ClearFuncs不正确校验要领调用漏洞

SaltStack Salt salt-master process ClearFuncs不正确校验要领调用，允许远程攻击者可以利用漏洞提交特殊的请求，可获取用户令牌，未授权访问并执行命令。

https://docs.saltstack.com/en/latest/topics/releases/2019.2.4.html

2. Apache IoTDB 31999端口未授权访问漏洞

Apache IoTDB JMX 31999端口存在未授权漏洞，允许远程攻击者利用漏洞提交特殊的请求，可未授权访问并执行任意代码。

https://lists.apache.org/thread.html/r3d2ff899ead64d2952fdc1fbb1f520ca42011ed2b4c7f786e921f6b9%40%3Cdev.iotdb.apache.org%3E

3. Adobe Bridge多个越界写代码执行漏洞

Adobe Bridge处置文件存在越界写漏洞，允许远程攻击者利用漏洞提交特殊的文件请求，诱使用户解析，可使应用法式崩�；蛞杂τ梅ㄊ缴舷挛闹葱腥我獯�。

https://helpx.adobe.com/security/products/bridge/apsb20-19.html

4. Google OpenThread MeshCoP::Commissioner::GeneratePskc缓冲区溢出漏洞

Google OpenThread MeshCoP::Commissioner::GeneratePskc存在缓冲区溢出漏洞，允许远程攻击者利用漏洞提交特殊的请求，可使应用法式崩�；蛞杂τ梅ㄊ缴舷挛闹葱腥我獯�。

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=19386

5. BMC Control-M/Agent OS命令注入漏洞

使用TCP协议时BMC Control-M/Agent存在输入验证漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，可注入任意OS命令。

https://herolab.usd.de/security-advisories/usd-2019-0064/

> 重要宁静事件综述

1、Sophos紧急修复防火墙中的SQL注入0day，已被野外利用

尊龙抖圈 - 为du而生

网络宁静公司Sophos于周六宣布了紧急补丁以修复已经被野外利用的SQL注入0day，该漏洞影响了其XG Firewall产物。4月22日晚，Sophos公司发现黑客利用XG Firewall中的SQL注入漏洞窃取了该设备中的数据，包罗防火墙设备管理员账户、防火墙门户网站管理员账户和远程访问设备账户中的的用户名和哈希密码。该公司体现此次更新已经修复了该SQL注入漏洞，而且新加了特殊提醒功效使客户知道其设备是否受到了威胁。

原文链接：

https://www.zdnet.com/article/hackers-are-exploiting-a-sophos-firewall-zero-day/

2、网信办等12个部门联合宣布《网络宁静审查措施》

尊龙抖圈 - 为du而生

原文链接：

http://www.cac.gov.cn/2020-04/27/c_1589535450769077.htm

3、Adobe宣布紧急补丁，修复其3款产物中的35个漏洞

尊龙抖圈 - 为du而生

软件公司Adobe于4月28日宣布紧急漏洞补丁，总共修复了35个漏洞，这些漏洞影响的产物有Adobe Illustrator、Adobe Bridge和电商平台Magento。此次宁静更新修复了Windows版本Illustrator 2020中的5个代码执行漏洞，Adobe Bridge 10.0.1及更早版本中的17个漏洞（14个可导致代码执行漏洞，3个有关信息泄露问题），商业版本和开源版本的Magento CMS中的13个漏洞。

原文链接：

https://thehackernews.com/2020/04/adobe-software-updates.html

4、CNNIC宣布《中国互联网络生长状况统计陈诉》

尊龙抖圈 - 为du而生

原文链接：

http://news.china.com.cn/txt/2020-04/28/content_75985166.htm

5、谷歌研究人员披露苹果Image I/O的零点击漏洞

尊龙抖圈 - 为du而生

谷歌的Project Zero 团队于本周二披露了Apple操作系统中内置的框架Image I/O中的零点击漏洞，该框架被应用于iOS、macOS、tvOS和watchOS中，用来处置图像元数据。Project Zero团队体现，他们分析了该框架的模糊处置过程，以视察它是如何处置格式错误的图像文件。结果研究人员发现了 Image I/O 中存在6个漏洞，而苹果向第三方果然的高动态范围（HDR）图像文件格式框架OpenEXR中存在8个漏洞。目前，所有漏洞都已经被修复。

原文链接：

https://www.zdnet.com/article/google-discloses-zero-click-bugs-impacting-several-apple-operating-systems/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究

信息宁静周报-2020年第18周

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线