首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第26周

颁布功夫 2020-06-29

> 本周安全态势综述

2020年06月22日至06月28日共收录安全缝隙56个，，，，，，值得关注的是Apache Dubbo hessian远程代码执行缝隙; 用友NC反序列化远程代码执行缝隙；；；；；；；；Apache Shiro身份验证绕过缝隙；；；；；；；；Apache Tomcat HTTP/2要求回绝服务缝隙；；；；；；；；Atlassian JIRA Server and Data Center服务器端模板代码注入缝隙。。。。。。。

本周值得关注的网络安全事务是Unit 42颁布恶意软件AcidBox的分析汇报；；；；；；；；美国200多个处所警局24年数据泄露，，，，，，被称为BlueLeaks；；；；；；；；摩洛哥当局或在利用NSO Group的间谍软件监督该国记者；；；；；；；；黑客使用Google Analytics平台绕过CSP窃守信誉卡信息；；；；；；；；DarkCrewFriends回归，，，，，，利用内容治理系统构建僵尸网络。。。。。。。

凭据以上综述，，，，，，本周安全威胁为中。。。。。。。

>沉要安全缝隙列表

1.Apache Dubbo hessian远程代码执行缝隙

Apache Dubbo hessian存在反序列化缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，能够利用法式高低文执行肆意代码。。。。。。。

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

2. 用友NC反序列化远程代码执行缝隙

用友NC存在反序列化缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，能够利用法式高低文执行肆意代码。。。。。。。

https://www.yonyoucloud.com/

3. Apache Shiro身份验证绕过缝隙

使用Spring dynamic controller的Apache Shiro存在安全缝隙，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，可绕过身份验证未授权接见。。。。。。。

https://access.redhat.com/security/cve/cve-2020-11989

4. Apache Tomcat HTTP/2要求回绝服务缝隙

ApacheTomcat处置HTTP/2要求存在安全缝隙，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，可使服务法式崩溃，，，，，，造成回绝服务攻击。。。。。。。

https://lists.apache.org/thread.html/r5541ef6b6b68b49f76fc4c45695940116da2bcbe0312ef204a00a2e0%40%3Cannounce.tomcat.apache.org%3E

5. Atlassian JIRA Server and Data Center服务器端模板代码注入缝隙

Atlassian JIRA Server and Data Center处置服务器端模板存在安全缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，可注入肆意代码并执行。。。。。。。

https://jira.atlassian.com/browse/JRASERVER-70944

> 沉要安全事务综述

1、Unit 42颁布恶意软件AcidBox的分析汇报