首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第11周

颁布功夫 2020-03-16

> 本周安全态势综述

2020年03月09日至15日共收录安全缝隙67个，，，，，值得关注的是Microsoft Server Message Block压缩算法代码执行缝隙; Apache ShardingSphere unmarshal数据处置代码执行缝隙；；；；；；；SAP Solution Manager验证绕过缝隙；；；；；；；Johnson Controls Kantech EntraPass SmartService API服务选项代码执行缝隙；；；；；；；Barracuda Load Balancer ADC LDAP服务配置缝隙。。。。。。。

本周值得关注的网络安全事务是微软颁布针对SMBv3缝隙的KB4551762安全更新；；；；；；；Whisper数据库可公开接见，，，，，泄露约9亿笔纪录；；；；；；；欧洲电力运营商联盟ENTSO-E办公网络遭黑客入侵；；；；；；；我国8项网络安全国度尺度获批颁布；；；；；；；两种新的AMD侧信路攻击，，，，，影响Zen架构。。。。。。。

凭据以上综述，，，，，本周安全威胁为钟祝。。。。。。

>沉要安全缝隙列表

1. Microsoft Server Message Block压缩算法代码执行缝隙

Microsoft Server Message Block SMBv3和谈在处置恶意压缩数据包存在安全缝隙，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，能够系统高低文执行肆意代码。。。。。。。

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796

2. Apache ShardingSphere unmarshal数据处置代码执行缝隙

Apache ShardingSphere WEB节造台SnakeYAML解析数据存在安全缝隙，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，能够利用法式高低文执行肆意代码。。。。。。。

https://lists.apache.org/thread.html/r4a61a24c119bd820da6fb02100d286f8aae55c8f9b94a346b9bb27d8%40%3Cdev.shardingsphere.apache.org%3E

3. SAP Solution Manager验证绕过缝隙

SAP Solution Manager验证查抄存在安全缝隙，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，通过SMDAgents未授权接见。。。。。。。

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305

4. Johnson Controls Kantech EntraPass SmartService API服务选项代码执行缝隙

Johnson Controls Kantech EntraPass SmartService API服务选项存在代码上传缝隙，，，，，允许远程攻击者利用缝隙提交特殊的上传要求，，，，，能够利用法式高低文执行肆意代码。。。。。。。

https://www.us-cert.gov/ics/advisories/icsa-20-070-04

5. Barracuda Load Balancer ADC LDAP服务配置缝隙

Barracuda Load Balancer ADC LDAP服务配置存在安全缝隙，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，可未授权接见LDAP服务。。。。。。。

https://blog.rapid7.com/2020/03/05/r7-2019-39-cve-2019-5648-ldap-credential-exposure-in-barracuda-load-balancer-adc-fixed/

> 沉要安全事务综述

1、微软颁布针对SMBv3缝隙的KB4551762安全更新