信息安全周报-2020年第18周

发布时间 2020-05-06

> 本周安全态势综述


2020年04月27日至05月03日共收录安全漏洞70个,值得关注的是SaltStack Salt salt-master process ClearFuncs不正确校验方法调用漏洞; Apache IoTDB 31999端口未授权访问漏洞;Adobe Bridge多个越界写代码实行漏洞;谷歌 OpenThread MeshCoP::Commissioner::GeneratePskc缓冲区溢出漏洞;BMC Control-M/Agent OS命令注入漏洞。


本周值得关注的网络安全事件是Sophos紧急修复防火墙中的SQL注入0day,已被野外利用;网信办等12个部门联合发布《网络安全审查办法》;Adobe发布紧急补丁,修复其3款产品中的35个漏洞;CNNIC发布《中国互联网络发展状况统计报告》;GOOGLE研究人员披露苹果Image I/O的零点击漏洞。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表


1. SaltStack Salt salt-master process ClearFuncs不正确校验方法调用漏洞


SaltStack Salt salt-master process ClearFuncs不正确校验方法调用,允许远程攻击者可以利用漏洞提交特殊的请求,可获取用户令牌,未授权访问并实行命令。

https://docs.saltstack.com/en/latest/topics/releases/2019.2.4.html


2. Apache IoTDB 31999端口未授权访问漏洞


Apache IoTDB JMX 31999端口存在未授权漏洞,允许远程攻击者利用漏洞提交特殊的请求,可未授权访问并实行任意代码。

https://lists.apache.org/thread.html/r3d2ff899ead64d2952fdc1fbb1f520ca42011ed2b4c7f786e921f6b9%40%3Cdev.iotdb.apache.org%3E


3. Adobe Bridge多个越界写代码实行漏洞


Adobe Bridge处理文件存在越界写漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://helpx.adobe.com/security/products/bridge/apsb20-19.html


4. 谷歌 OpenThread MeshCoP::Commissioner::GeneratePskc缓冲区溢出漏洞


谷歌 OpenThread MeshCoP::Commissioner::GeneratePskc存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=19386


5. BMC Control-M/Agent OS命令注入漏洞


使用TCP协议时BMC Control-M/Agent存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可注入任意OS命令。

https://herolab.usd.de/security-advisories/usd-2019-0064/


> 重要安全事件综述


1、Sophos紧急修复防火墙中的SQL注入0day,已被野外利用



网络安全企业Sophos于周六发布了紧急补丁以修复已经被野外利用的SQL注入0day,该漏洞影响了其XG Firewall产品。4月22日晚,Sophos企业发现黑客利用XG Firewall中的SQL注入漏洞窃取了该设备中的数据,包括防火墙设备管理员账户、防火墙门户网站管理员账户和远程访问设备账户中的的用户名和哈希密码。该企业表示此次更新已经修复了该SQL注入漏洞,并且新加了特殊提醒功能使客户知道其设备是否受到了威胁。


原文链接:

https://www.zdnet.com/article/hackers-are-exploiting-a-sophos-firewall-zero-day/


2、网信办等12个部门联合发布《网络安全审查办法》



原文链接:

http://www.cac.gov.cn/2020-04/27/c_1589535450769077.htm


3、Adobe发布紧急补丁,修复其3款产品中的35个漏洞



App企业Adobe于4月28日发布紧急漏洞补丁,总共修复了35个漏洞,这些漏洞影响的产品有Adobe Illustrator、Adobe Bridge和电商平台Magento。此次安全更新修复了Windows版本Illustrator 2020中的5个代码实行漏洞,Adobe Bridge 10.0.1及更早版本中的17个漏洞(14个可导致代码实行漏洞,3个有关信息泄露问题),商业版本和开源版本的Magento CMS中的13个漏洞。


原文链接:

https://thehackernews.com/2020/04/adobe-software-updates.html


4、CNNIC发布《中国互联网络发展状况统计报告》



原文链接:

http://news.china.com.cn/txt/2020-04/28/content_75985166.htm


5、GOOGLE研究人员披露苹果Image I/O的零点击漏洞



GOOGLE的Project Zero 团队于本周二披露了Apple操作系统中内置的框架Image I/O中的零点击漏洞,该框架被应用于iOS、macOS、tvOS和watchOS中,用来处理图像元数据。Project Zero团队表示,他们分析了该框架的模糊处理过程,以观察它是如何处理格式错误的图像文件。结果研究人员发现了 Image I/O 中存在6个漏洞,而苹果向第三方公开的高动态范围(HDR)图像文件格式框架OpenEXR中存在8个漏洞。目前,所有漏洞都已经被修复。


原文链接:

https://www.zdnet.com/article/google-discloses-zero-click-bugs-impacting-several-apple-operating-systems/