首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第48周

颁布功夫 2019-12-09

>本周安全态势综述

2019年12月02日至08日共收录安全缝隙48个，值得关注的是Google Kubernetes API沉定向缝隙; D-Link DAP-1860号令注入代码执行缝隙；OpenBSD验证绕过缝隙；Apache Olingo AbstractService ObjectInputStream反序列化代码执行缝隙；Mozilla Firefox ESR worker destruction内存谬误引用缝隙。

本周值得关注的网络安全事务是欧洲网络安全局颁布海事部门网络安全指南；Android缝隙StrandHogg可假装成肆意利用；GoAhead Web服务器RCE缝隙影响大量IoT设备；Autodesk、趋向科技及卡巴斯基曝DLL劫持缝隙；PCI SSC颁布非接触式支付的新数据安全尺度。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1. Google Kubernetes API沉定向缝隙

Google Kubernetes API server没有正确验证URL的沉定向，允许远程攻击者能够利用缝隙提交特殊的要求，将API服务器要求沉定向到肆意主机。

https://github.com/kubernetes/kubernetes/issues/85867

2. D-Link DAP-1860号令注入代码执行缝隙

D-Link DAP-1860 HNAP_TIME和SOAPAction存在号令注入缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可执行肆意代码。

https://chung96vn.wordpress.com/2019/11/15/d-link-dap-1860-vulnerabilities/

3. OpenBSD验证绕过缝隙

OpenBSD验证系统存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求用户名，如"-option"或"-schallenge"，绕过安全限度，未授权接见系统。

https://packetstormsecurity.com/files/155572/Qualys-Security-Advisory-OpenBSD-Authentication-Bypass-Privilege-Escalation.html

4. Apache Olingo AbstractService ObjectInputStream反序列化代码执行缝隙

Apache Olingo AbstractService ObjectInputStream存在反序列化缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可执行肆意代码。

https://mail-archives.apache.org/mod_mbox/olingo-user/201912.mbox/%3CCAGSZ4d4vbSYaVh3aUWAvcVHK2qcFxxCZd3WAx3xbwZXskPX8nw%40mail.gmail.com%3E

5. Mozilla Firefox ESR worker destruction内存谬误引用缝隙

Mozilla Firefox ESR worker destruction存在内存谬误引用两次开释缝隙，允许远程攻击者利用缝隙提交特殊的WEB要求，诱使用户解析，可使利用法式崩�；蛑葱兴烈獯�。

https://www.auscert.org.au/bulletins/ESB-2019.4555/

>沉要安全事务综述

1、欧洲网络安全局颁布海事部门网络安全指南

GA黄金甲·(中国区)官方网站

欧洲网络安全局（ENISA）以《港口网络安全-海事部门网络安全实际》为题颁布了海事部门网络安全指南，为港口生态系统尤其是港口当局和船埠运营商中的CIO和CISO造订网络安全战术提供领导和援手。该指南列出了港口生态系统面对的重要威胁，并描述了可能对港口生态系统造成影响的关键网络攻击场景。该指南为终端�；ず托悦芷谥卫怼⒎煜吨卫怼⑷肆ψ试窗踩⒐└粗卫淼壬杓屏税踩胧�。

原文链接：

https://www.enisa.europa.eu/publications/port-cybersecurity-good-practices-for-cybersecurity-in-the-maritime-sector/

2、Android缝隙StrandHogg可假装成肆意利用

GA黄金甲·(中国区)官方网站

Promon安全钻研人员发现一个新的Android缝隙StrandHogg，该缝隙允许恶意利用假装成肆意合法利用。该缝隙利用了Android的多工作处置职能，当用户点击一个正常利用的图标时，恶意利用能够利用该缝隙拦截指令并向用户显示一个虚伪的界面，从而诱导用户授予各类权限。钻研人员已经发现了36个在积极利用此缝隙的恶意利用，蕴含银行木马BankBot。钻研人员称该缝隙的影响领域极度大，由于默认情况下大无数利用都易受攻击，并且目前没有靠得住的步骤来探测或阻止这种攻击。谷歌尚未在职何版本的Android上建复此问题。

原文链接：

https://www.bleepingcomputer.com/news/security/actively-exploited-strandhogg-vulnerability-affects-android-os/

3、GoAhead Web服务器RCE缝隙影响大量IoT设备

GA黄金甲·(中国区)官方网站

思科Talos的安全专家在GoAhead嵌入式Web服务器中发现了两个缝隙，其中蕴含一个关键的远程代码执行缝隙（CVE-2019-5096）。该缝隙与GoAhead处置multi-part/form-data要求的方式有关，未经身份验证的攻击者可利用该缝隙触发use-after-free，并通过发送恶意HTTP要求在服务器上执行肆意代码。第二个缝隙（CVE-2019-5097）存在于统一组件中，可导致回绝服务攻击。受影响的版本蕴含v5.0.1、v.4.1.1和v3.6.5。凭据Shodan的搜索了局，露出在公网上的GoAhead服务器数量已超过130万。

原文链接：

https://thehackernews.com/2019/12/goahead-web-server-hacking.html

4、Autodesk、趋向科技及卡巴斯基曝DLL劫持缝隙

GA黄金甲·(中国区)官方网站

SafeBreach Labs钻研人员披露Autodesk、趋向科技和卡巴斯基软件中的DLL劫持缝隙。趋向科技安全软件16.0.1221及以下版本受到CVE-2019-15628影响，该缝隙存在于coreServiceShell.exe组件中。由于未对加载的DLL署名进行验证，因而攻击者可加载和执行肆意DLL，导致白名单绕过、获得悠久性、逃避检测以及潜在的特权升级等。Kaspersky Secure Connection和Autodesk桌面利用也别离受到类似的缝隙CVE-2019-15689和CVE-2019-7365的影响。

原文链接：

https://www.zdnet.com/article/researchers-disclose-bugs-in-autodesk-trend-micro-kaspersky-software/

5、PCI SSC颁布非接触式支付的新数据安全尺度

GA黄金甲·(中国区)官方网站

PCI安全尺度委员会（PCI SSC）颁布了用于非接触式支付的新数据安全尺度。该尺度允许带有NFC的COTS移动设备接受非接触式支付。PCI CPoC尺度是该委员会为解决移动非接触式支付颁布的第二个尺度。具体来说，PCI CPoC尺度划定了供给商在�；な荨⒉馐砸蠛推拦澜饩龉婊矫娴囊恍┌踩系囊�。尺度的CPoC解决规划蕴含拥有嵌入式NFC接口的COTS设备、经验证的付款软件以及独立于COTS设备的后端系统。

原文链接：

https://cyware.com/news/new-data-security-standards-published-for-contactless-payments-12566cb1

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2019年第48周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线