首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第13周

颁布功夫 2020-03-31

> 本周安全态势综述

2020年03月23日至29日共收录安全缝隙62个，，，，，值得关注的是Microsoft Windows Adobe Type Manager Library字体处置代码执行缝隙; Apple Safari Webkit CVE-2020-3901内存谬误引用代码执行缝隙；；；；；；；；Apache Shiro Spring dynamic controllers验证绕过缝隙；；；；；；；；rConfig lib/crud/search.crud.php号令注入缝隙；；；；；；；；3S-Smart Software Solutions CODESYS V3 web server缓冲区溢露马脚。。。。。。。

本周值得关注的网络安全事务是Keepnet Labs ES事俘泄露超过50亿笔纪录，，，，，均为以前泄露；；；；；；；；微软忠告Adobe Type Manager库中的两个RCE 0day；；；；；；；；惠普再次忠告部门SSD将在运行4万幼时后出现故障；；；；；；；；开源路由器刊行版OPENWRT/LEDE RCE缝隙（CVE-2020-7982）；；；；；；；；Github和京东等网站遭到中央人攻击，，，，，多个省市区受影响。。。。。。。

凭据以上综述，，，，，本周安全威胁为钟祝。。。。。。

>沉要安全缝隙列表

1. Microsoft Windows Adobe Type Manager Library字体处置代码执行缝隙

Microsoft Windows Adobe Type Manager Library处置Adobe Type 1 PostScript体式字体存在内存粉碎缝隙，，，，，允许远程攻击者利用缝隙构建恶意文件，，，，，诱使用户解析，，，，，可使利用法式崩�；；；；；；；；蛑葱兴烈獯搿�。。。。。。

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV200006

2. Apple Safari Webkit CVE-2020-3901内存谬误引用代码执行缝隙

Apple Safari Webkit存在内存粉碎缝隙，，，，，允许远程攻击者利用缝隙提交特殊的WEB要求，，，，，诱使用户接见，，，，，可使利用法式崩�；；；；；；；；蚰芄焕梅ㄊ礁叩臀闹葱兴烈獯搿�。。。。。。

https://support.apple.com/en-us/HT211104

3. Apache Shiro Spring dynamic controllers验证绕过缝隙

Apache Shiro Spring dynamic controllers存在验证绕过缝隙，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，可绕过验证未授权接见利用。。。。。。。

https://lists.apache.org/thread.html/r17f371fc89d34df2d0c8131473fbc68154290e1be238895648f5a1e6%40%3Cdev.shiro.apache.org%3E

4. rConfig lib/crud/search.crud.php号令注入缝隙

rConfig lib/crud/search.crud.php处置nodeId存在输入验证缝隙，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，可注入肆意号令并执杏祝。。。。。。

https://github.com/rconfig/rconfig/commit/3385f906427d228c48b914625136bf620f4ca0a9

5. 3S-Smart Software Solutions CODESYS V3 web server缓冲区溢露马脚

3S-Smart Software Solutions CODESYS V3 web server CmpWebServerHandlerV3.dll存在堆溢露马脚，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，可使服务法式崩�；；；；；；；；蛑葱兴烈獯搿�。。。。。。

https://zh-cn.tenable.com/security/research/tra-2020-16?tns_redirect=true

> 沉要安全事务综述

1、Keepnet Labs ES事俘泄露超过50亿笔纪录，，，，，均为以前泄露