信息安全周报-2020年第19周

发布时间 2020-05-11

> 本周安全态势综述


2020年05月04日至05月10日共收录安全漏洞60个,值得关注的是Advantech WebAccess Node多个栈溢出漏洞; S.Siedle&Soehne SG 150-0 Smart Gateway备份功能代码实行漏洞;IBM Data Risk Manager任意文件下载漏洞;3S-Smart Software Solutions CODESYS Runtime PLC_Task代码实行漏洞;Mozilla Firefox SCTP缓冲区溢出漏洞。


本周值得关注的网络安全事件是GOOGLE发布了针对Android OS的安全更新,修复多个漏洞;App企业SAP宣布其产品存在漏洞,或将影响9%用户;黑客声称入侵微软 GitHub帐户,并窃取超500GB数据;任天堂遭黑客攻击,泄露包括完整源代码在内的2TB文件;思科发布安全更新,修复多个产品中的12个漏洞。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表


1. Advantech WebAccess Node多个栈溢出漏洞


Advantech WebAccess Node存在多个栈溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或可实行任意代码。

https://www.us-cert.gov/ics/advisories/icsa-20-128-0


2. S.Siedle&Soehne SG 150-0 Smart Gateway备份功能代码实行漏洞


S.Siedle&Soehne SG 150-0 Smart Gateway备份功能存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可实行任意代码。

https://research.hisolutions.com/2020/04/open-the-gates-insecurity-of-cloudless-smart-door-systems


3. IBM Data Risk Manager任意文件下载漏洞


IBM Data Risk Manager存在目录遍历漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可下载任意文件。

https://www.ibm.com/support/pages/node/6206875


4. 3S-Smart Software Solutions CODESYS Runtime PLC_Task代码实行漏洞


3S-Smart Software Solutions CODESYS Runtime PLC_Task功能存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可实行任意代码。

https://talosintelligence.com/vulnerability_reports/TALOS-2020-1003


5. Mozilla Firefox SCTP缓冲区溢出漏洞


Mozilla Firefox ESR SCTP缓冲区溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或者可实行任意代码。

https://www.auscert.org.au/bulletins/ESB-2020.1600/


> 重要安全事件综述


1、GOOGLE发布了针对Android OS的安全更新,修复多个漏洞


原文链接:

https://www.securityweek.com/androids-may-2020-patches-fix-critical-system-vulnerability


2、App企业SAP宣布其产品存在漏洞,或将影响9%用户



原文链接:

https://www.zdnet.com/article/sap-notifying-9-of-customers-about-security-bugs-in-some-cloud-products/


3、黑客声称入侵微软 GitHub帐户,并窃取超500GB数据



原文链接:

https://www.bleepingcomputer.com/news/security/microsofts-github-account-allegedly-hacked-500gb-stolen/


4、任天堂遭黑客攻击,泄露包括完整源代码在内的2TB文件



原文链接:

https://www.videogameschronicle.com/news/a-full-mario-64-pc-port-has-been-released/


5、思科发布安全更新,修复多个产品中的12个漏洞



原文链接:

https://threatpost.com/cisco-fixes-high-severity-flaws-in-firepower-security-software-asa/155568/