首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第08周

颁布功夫 2020-02-24

> 本周安全态势综述

2020年02月17日至23日共收录安全缝隙51个，，，，，，值得关注的是B&R Industrial Automation Automation Studio SNMP服务授权缝隙; Apache Tomcat AJPconnector文件蕴含缝隙；；；；；Adobe Media Encoder越界写代码执行缝隙；；；；；Cisco Enterprise NFV Infrastructure Software升级组件验证缝隙；；；；；Ansible pipe lookup插件肆意号令执行缝隙。。。。。。。。

本周值得关注的网络安全事务是中国人民银行颁布2020版《网上银行系统信息安全通用规范》；；；；；Apache Tomcat文件蕴含缝隙（CVE-2020-1938）；；；；；安全钻研人员披露微软多个子域名被劫持问题；；；；；美国天然气管路运营商遭到勒索软件攻击；；；；；伊朗黑客利用VPN软件缝隙攻击全球的企业和当局机构。。。。。。。。

凭据以上综述，，，，，，本周安全威胁为中。。。。。。。。

>沉要安全缝隙列表

1. B&R Industrial Automation Automation Studio SNMP服务授权缝隙

B&R Industrial Automation Automation Studio SNMP服务存在安全缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，可批改服务配置。。。。。。。。

https://www.us-cert.gov/ics/advisories/icsa-20-051-01

2. Apache Tomcat AJPconnector文件蕴含缝隙

Apache Tomcat AJPconnector存在实现缺点导致有关参数可控，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，可读取系统文件或执行肆意代码。。。。。。。。

https://mp.weixin.qq.com/s/qIG_z9imxdLUobviSv7knw

3. Adobe Media Encoder越界写代码执行缝隙

Adobe Media Encoder处置文件存在缓冲区溢露马脚，，，，，，允许远程攻击者能够利用缝隙提交特殊的文件要求，，，，，，诱使用于解析，，，，，，可使利用法式崩�；；；；；蛑葱兴烈獯�。。。。。。。。

https://helpx.adobe.com/security/products/media-encoder/apsb20-10.html

4. Cisco Enterprise NFV Infrastructure Software升级组件验证缝隙

Cisco Enterprise NFV Infrastructure Software升级组件存在安全缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，升级恶意固件，，，，，，执行肆意代码。。。。。。。。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nfvis-codex-shs4NhvS

5. Ansible pipe lookup插件肆意号令执行缝隙

Ansible pipe lookup插件subprocess.Popen()存在安全缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，可执行肆意号令。。。。。。。。

https://access.redhat.com/security/cve/cve-2020-1734

> 沉要安全事务综述

1、中国人民银行颁布2020版《网上银行系统信息安全通用规范》