首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第05周

颁布功夫 2020-02-05

> 本周安全态势综述

2020年01月27日至2月02日共收录安全缝隙47个，，，，，，，值得关注的是DrayTek Vigor系列肆意号令执行缝隙; Adobe Illustrator CC CVE-2020-3710内存粉碎代码执行缝隙；；；；；；；OpenSMTPD smtp_mailaddr肆意号令执行缝隙；；；；；；；Adobe Acrobat/Reader类型混合代码执行缝隙；；；；；；；IBM Security Access Manager Appliance XXE注入缝隙。。。。。。。。

本周值得关注的网络安全事务是OpenSMTPD库RCE缝隙影响多个BSD和Linux刊行版；；；；；；；2019年僵尸网络C2服务器数量同比增长71%；；；；；；；美国国度安全局颁布有关缓解云缝隙的安全指南；；；；；；；微软颁布Azure安全基准，，，，，，，提供90多种安全实际建议；；；；；；；纽约新法案提议不容市政当局支付勒索软件赎金。。。。。。。。

凭据以上综述，，，，，，，本周安全威胁为中。。。。。。。。

>沉要安全缝隙列表

1. DrayTek Vigor系列肆意号令执行缝隙

DrayTek Vigor300B cgi-bin/mainfunction.cgi URI不正确处置SHELL字符，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，能够ROOT权限执行肆意号令。。。。。。。。

https://sku11army.blogspot.com/2020/01/draytek-unauthenticated-rce-in-draytek.html

2. Adobe Illustrator CC CVE-2020-3710内存粉碎代码执行缝隙

Adobe Illustrator CC处置文件存在内存粉碎缝隙，，，，，，，允许远程攻击者能够利用缝隙提交特殊的文件要求，，，，，，，诱使用户解析，，，，，，，可使利用法式崩�；；；；；；；蛑葱兴烈獯搿�。。。。。。。

https://helpx.adobe.com/security/products/illustrator/apsb20-03.html

3. OpenSMTPD smtp_mailaddr肆意号令执行缝隙

OpenSMTPD smtp_session.c smtp_mailaddr存在安全缝隙，，，，，，，允许远程攻击者能够利用缝隙提交特殊的MAIL FROM字段要求，，，，，，，可执行肆意号令。。。。。。。。

http://packetstormsecurity.com/files/156137/OpenBSD-OpenSMTPD-Privilege-Escalation-Code-Execution.html

4. Adobe Acrobat/Reader类型混合代码执行缝隙

Adobe Acrobat and Reader处置文件存在类型混合缝隙，，，，，，，允许远程攻击者利用缝隙提交特殊的文件要求，，，，，，，诱使用户解析，，，，，，，可使利用法式崩�；；；；；；；蛑葱兴烈獯搿�。。。。。。。

https://helpx.adobe.com/security/products/acrobat/apsb19-02.html

5. IBM Security Access Manager Appliance XXE注入缝隙

IBM Security Access Manager Appliance处置XML数据存在XXE攻击缝隙，，，，，，，允许远程攻击者利用缝隙提交特殊的XML要求，，，，，，，可获取敏感信息或进行回绝服务攻击。。。。。。。。

https://exchange.xforce.ibmcloud.com/vulnerabilities/172018

> 沉要安全事务综述

1、OpenSMTPD库RCE缝隙影响多个BSD和Linux刊行版