首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第18周

颁布功夫 2020-05-06

> 本周安全态势综述

2020年04月27日至05月03日共收录安全缝隙70个，值得关注的是SaltStack Salt salt-master process ClearFuncs不正确校验步骤挪用缝隙; Apache IoTDB 31999端口未授权接见缝隙；Adobe Bridge多个越界写代码执行缝隙；Google OpenThread MeshCoP::Commissioner::GeneratePskc缓冲区溢露马脚；BMC Control-M/Agent OS号令注入缝隙。

本周值得关注的网络安全事务是Sophos垂危建复防火墙中的SQL注入0day，已被野表利用；网信办等12个部门结合颁布《网络安全审查法子》；Adobe颁布垂危补丁，建复其3款产品中的35个缝隙；CNNIC颁布《中国互联网络发展情况统计汇报》；谷歌钻研人员披露苹果Image I/O的零点击缝隙。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1. SaltStack Salt salt-master process ClearFuncs不正确校验步骤挪用缝隙

SaltStack Salt salt-master process ClearFuncs不正确校验步骤挪用，允许远程攻击者能够利用缝隙提交特殊的要求，可获取用户令牌，未授权接见并执行号令。

https://docs.saltstack.com/en/latest/topics/releases/2019.2.4.html

2. Apache IoTDB 31999端口未授权接见缝隙

Apache IoTDB JMX 31999端口存在未授权缝隙，允许远程攻击者利用缝隙提交特殊的要求，可未授权接见并执行肆意代码。

https://lists.apache.org/thread.html/r3d2ff899ead64d2952fdc1fbb1f520ca42011ed2b4c7f786e921f6b9%40%3Cdev.iotdb.apache.org%3E

3. Adobe Bridge多个越界写代码执行缝隙

Adobe Bridge处置文件存在越界写缝隙，允许远程攻击者利用缝隙提交特殊的文件要求，诱使用户解析，可使利用法式崩�；蛞岳梅ㄊ礁叩臀闹葱兴烈獯�。

https://helpx.adobe.com/security/products/bridge/apsb20-19.html

4. Google OpenThread MeshCoP::Commissioner::GeneratePskc缓冲区溢露马脚

Google OpenThread MeshCoP::Commissioner::GeneratePskc存在缓冲区溢露马脚，允许远程攻击者利用缝隙提交特殊的要求，可使利用法式崩�；蛞岳梅ㄊ礁叩臀闹葱兴烈獯�。

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=19386

5. BMC Control-M/Agent OS号令注入缝隙

使用TCP和谈时BMC Control-M/Agent存在输入验证缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可注入肆意OS号令。

https://herolab.usd.de/security-advisories/usd-2019-0064/

> 沉要安全事务综述

1、Sophos垂危建复防火墙中的SQL注入0day，已被野表利用

GA黄金甲·(中国区)官方网站

网络安全公司Sophos于周六颁布了垂危补丁以建复已经被野表利用的SQL注入0day，该缝隙影响了其XG Firewall产品。4月22日晚，Sophos公司发现黑客利用XG Firewall中的SQL注入缝隙窃取了该设备中的数据，蕴含防火墙设备治理怨厮户、防火墙门户网站治理怨厮户和远程接见设备账户中的的用户名和哈希密码。该公司暗示这次更新已经建复了该SQL注入缝隙，并且新加了特殊提醒职能使客户知路其设备是否受到了威胁。

原文链接：

https://www.zdnet.com/article/hackers-are-exploiting-a-sophos-firewall-zero-day/

2、网信办等12个部门结合颁布《网络安全审查法子》

GA黄金甲·(中国区)官方网站

原文链接：

http://www.cac.gov.cn/2020-04/27/c_1589535450769077.htm

3、Adobe颁布垂危补丁，建复其3款产品中的35个缝隙

GA黄金甲·(中国区)官方网站

软件公司Adobe于4月28日颁布垂危缝隙补丁，总共建复了35个缝隙，这些缝隙影响的产品有Adobe Illustrator、Adobe Bridge和电商平台Magento。这次安全更新建复了Windows版本Illustrator 2020中的5个代码执行缝隙，Adobe Bridge 10.0.1及更早版本中的17个缝隙（14个可导致代码执行缝隙，3个有关信息泄露问题），贸易版本和开源版本的Magento CMS中的13个缝隙。

原文链接：

https://thehackernews.com/2020/04/adobe-software-updates.html

4、CNNIC颁布《中国互联网络发展情况统计汇报》

GA黄金甲·(中国区)官方网站

原文链接：

http://news.china.com.cn/txt/2020-04/28/content_75985166.htm

5、谷歌钻研人员披露苹果Image I/O的零点击缝隙

GA黄金甲·(中国区)官方网站

谷歌的Project Zero 团队于本周二披露了Apple操作系统中内置的框架Image I/O中的零点击缝隙，该框架被利用于iOS、macOS、tvOS和watchOS中，用来处置图像元数据。Project Zero团队暗示，他们分析了该框架的吞吐处置过程，以观察它是若何处置体式谬误的图像文件。了局钻研人员发现了 Image I/O 中存在6个缝隙，而苹果向第三方公开的高动态领域（HDR）图像文件体式框架OpenEXR中存在8个缝隙。目前，所有缝隙都已经被建复。

原文链接：

https://www.zdnet.com/article/google-discloses-zero-click-bugs-impacting-several-apple-operating-systems/

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2020年第18周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线