信息安全周报-2020年第29周

发布时间 2020-07-20

> 本周安全态势综述


2020年07月13日至07月19日共收录安全漏洞82个,值得关注的是微软 Windows Server DNS Server CVE-2020-1350缓冲区溢出漏洞;Oracle Fusion Middleware WebLogic Server CVE-2020-14625任意代码实行漏洞;Oracle GoldenGate Process Management组件代码实行漏洞;Adobe Media Encoder CVE-2020-9650越界写代码实行漏洞; ABB IRC5 OPC默认硬编码漏洞。


本周值得关注的网络安全事件是VMware修复Fusion、VMRC和Horizon Client中的提权漏洞;黑客入侵安全企业DataViper服务器窃取数十亿用户信息;SAP发布安全更新,修复NetWeaver中的严重漏洞;黑客在暗网公开wattpad的2.7亿条用户数据;思科发布多种产品的安全更新,修复代码实行漏洞。


根据以上综述,本周安全威胁为中。



>重要安全漏洞列表


1.微软 Windows Server DNS Server CVE-2020-1350缓冲区溢出漏洞


微软 Windows Server DNS Server处理响应参数存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或可实行任意代码。

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1350


2. Oracle Fusion Middleware WebLogic Server CVE-2020-14625任意代码实行漏洞


Oracle Fusion Middleware WebLogic Server存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或可实行任意代码。

https://www.oracle.com/security-alerts/cpujul2020.html


3. Oracle GoldenGate Process Management组件代码实行漏洞


Oracle GoldenGate Process Management组件存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可使应用程序崩溃或可以应用程序上下文实行任意代码。

https://www.oracle.com/security-alerts/cpujul2020.html


4. Adobe Media Encoder CVE-2020-9650越界写代码实行漏洞


Adobe Media Encoder处理音频文件存在越界写漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或实行任意代码。

https://helpx.adobe.com/security/products/media-encoder/apsb20-36.html


5. ABB IRC5 OPC默认硬编码漏洞


ABB IRC5 OPC server存在默认硬编码漏洞,允许远程攻击者利用漏洞提交特殊的请求,可未授权访问系统。

https://github.com/aliasrobotics/RVD/issues/3326



> 重要安全事件综述


1、VMware修复Fusion、VMRC和Horizon Client中的提权漏洞



原文链接:

https://us-cert.cisa.gov/ncas/current-activity/2020/07/10/vmware-releases-security-updates-multiple-products


2、黑客入侵安全企业DataViper服务器窃取数十亿用户信息



原文链接:

https://www.zdnet.com/article/hacker-breaches-security-firm-in-act-of-revenge/#ftag=RSSbaffb68


3、SAP发布安全更新,修复NetWeaver中的严重漏洞



原文链接:

https://us-cert.cisa.gov/ncas/alerts/aa20-195a


4、黑客在暗网公开wattpad的2.7亿条用户数据



原文链接:

https://www.bleepingcomputer.com/news/security/wattpad-data-breach-exposes-account-info-for-millions-of-users/


5、思科发布多种产品的安全更新,修复代码实行漏洞



原文链接:

https://us-cert.cisa.gov/ncas/current-activity/2020/07/15/cisco-releases-security-updates-multiple-products