首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第18周

颁布功夫 2020-05-06

> 本周安全态势综述

2020年04月27日至05月03日共收录安全缝隙70个，，，，，值得关注的是SaltStack Salt salt-master process ClearFuncs不正确校验步骤挪用缝隙; Apache IoTDB 31999端口未授权接见缝隙；；；；；；；；Adobe Bridge多个越界写代码执行缝隙；；；；；；；；Google OpenThread MeshCoP::Commissioner::GeneratePskc缓冲区溢露马脚；；；；；；；；BMC Control-M/Agent OS号令注入缝隙。。。。。。。

本周值得关注的网络安全事务是Sophos垂危建复防火墙中的SQL注入0day，，，，，已被野表利用；；；；；；；；网信办等12个部门结合颁布《网络安全审查法子》；；；；；；；；Adobe颁布垂危补丁�。。。。。。�，，，建复其3款产品中的35个缝隙；；；；；；；；CNNIC颁布《中国互联网络发展情况统计汇报》；；；；；；；；谷歌钻研人员披露苹果Image I/O的零点击缝隙。。。。。。。

凭据以上综述，，，，，本周安全威胁为钟祝。。。。。。

>沉要安全缝隙列表

1. SaltStack Salt salt-master process ClearFuncs不正确校验步骤挪用缝隙

SaltStack Salt salt-master process ClearFuncs不正确校验步骤挪用，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，可获取用户令牌，，，，，未授权接见并执行号令。。。。。。。

https://docs.saltstack.com/en/latest/topics/releases/2019.2.4.html

2. Apache IoTDB 31999端口未授权接见缝隙

Apache IoTDB JMX 31999端口存在未授权缝隙，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，可未授权接见并执行肆意代码。。。。。。。

https://lists.apache.org/thread.html/r3d2ff899ead64d2952fdc1fbb1f520ca42011ed2b4c7f786e921f6b9%40%3Cdev.iotdb.apache.org%3E

3. Adobe Bridge多个越界写代码执行缝隙

Adobe Bridge处置文件存在越界写缝隙，，，，，允许远程攻击者利用缝隙提交特殊的文件要求，，，，，诱使用户解析，，，，，可使利用法式崩溃�；；；；；；；蛞岳梅ㄊ礁叩臀闹葱兴烈獯搿�。。。。。。

https://helpx.adobe.com/security/products/bridge/apsb20-19.html

4. Google OpenThread MeshCoP::Commissioner::GeneratePskc缓冲区溢露马脚

Google OpenThread MeshCoP::Commissioner::GeneratePskc存在缓冲区溢露马脚，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，可使利用法式崩溃�；；；；；；；蛞岳梅ㄊ礁叩臀闹葱兴烈獯搿�。。。。。。

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=19386

5. BMC Control-M/Agent OS号令注入缝隙

使用TCP和谈时BMC Control-M/Agent存在输入验证缝隙，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，可注入肆意OS号令。。。。。。。

https://herolab.usd.de/security-advisories/usd-2019-0064/

> 沉要安全事务综述

1、Sophos垂危建复防火墙中的SQL注入0day，，，，，已被野表利用