根据国家信息安全漏洞库(CNNVD)统计,本周(2020.12.07-2020.12.13)CNNVD接报漏洞4304个,其中信息技术产品漏洞(通用型漏洞)59个,华云安报送7个;网络信息系统漏洞(事件型漏洞)4245个。(数据来源于CNNVD)
本周重点关注漏洞包括Apache Groovy信息泄露漏洞、用友NC 6.5文件上传漏洞、OpenSSL拒绝服务漏洞、Apache Struts远程代码执行漏洞、Apache APISIX Admin API默认Token漏洞、Microsoft多个安全漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
Apache Groovy信息泄露漏洞
发布时间:2020年12月7日
Apache发布安全公告,Groovy中存在一个安全漏洞(CVE-2020-17521)。Groovy是 Apache旗下的一门基于JVM平台的动态编程语言,在语言的设计上其吸纳了Python、Ruby和Smalltalk语言的特点,语法简练,开发效率高。如果Groovy使用CreateTempDir两种扩展方法之一来创建临时目录,Groovy代码在受影响的操作系统上运行,Groovy代码将敏感信息(例如API密钥或密码)写入临时目录,并且其他用户可以访问运行Groovy代码的机器,则将存在信息泄露或修改的风险。
情报来源:
https://docs.groovy-lang.org/latest/html/groovy-jdk/java/io/File.html#createTempDir
用友NC 6.5文件上传漏洞
发布时间:2020年12月7日
用友NC 6.5版本被曝出存在任意文件上传漏洞。用友NC是一款企业级管理软件,在大中型企业广泛使用,实现建模、开发、继承、运行、管理一体化的IT解决方案信息化平台。该漏洞利用简单,且相关利用细节已公开。攻击者可通过向目标系统发送特制数据包利用该漏洞可在无需登录的情况下上传恶意文件,执行任意代码,从而控制服务器。
OpenSSL拒绝服务漏洞
发布时间:2020年12月8日
2020年12月8日, Openssl披露了Openssl 拒绝服务漏洞。OpenSSL 是用于传输层安全性(TLS)和安全套接字层(SSL)协议的功能强大的,商业级且功能齐全的工具包,同时也是一个通用加密库。OpenSSL在处理 EDIPartyName(X.509GeneralName类型标识)的时候存在一处空指针解引用,远程攻击者通过构造特制的证书验证过程触发此漏洞,导致服务端拒绝服务,从而影响业务正常运行。
情报来源:
https://www.openssl.org/source/
Apache Struts远程代码执行漏洞
发布时间:2020年12月8日
2020年12月8日,Apache Struts官方发布安全公告,披露S2-061 Struts远程代码执行漏洞。Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架,在使用某些tag等情况下可能存在OGNL表达式注入漏洞。如果开发人员通过使用%{…}语法,远程攻击者通过构造恶意的OGNL表达式,可能导致远程代码执行,使得安全性下降。
情报来源:
https://cwiki.apache.org/confluence/display/WW/S2-061
Apache APISIX Admin API默认Token漏洞
发布时间:2020年12月8日
2020年12月8日,Apache APISIX官方披露APISIX Admin API 默认Token漏洞。Apache APISIX是一个动态、实时、高性能的API网关,基于Nginx网络库和etcd实现,提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。当使用者开启了Admin API,没有配置相应的IP访问策略,且没有修改配置文件Token的情况下,攻击者利用Apache APISIX的默认Token即可访问Apache APISIX,从而控制APISIX网关。
情报来源:
https://seclists.org/oss-sec/2020/q4/187
Microsoft多个安全漏洞
发布时间:2020年12月9日
2020年12月9日,Microsoft官方发布12月安全更新,共发布了58个CVE漏洞安全补丁程序,本次更新涉及Microsoft Windows,Microsoft Edge (EdgeHTML-based),Microsoft Edge forAndroid,Microsoft Exchange Server,Azure DevOps,Microsoft Dynamics等组件和软件。在漏洞影响等级方面,标记“Critical”的有9个漏洞,标记“Important”的有46个漏洞。在漏洞利用类型方面,远程代码执行漏洞类型有23个,特权提升漏洞类型有14个,信息泄露漏洞类型有9个。
情报来源:
https://msrc.microsoft.com/update-guide/releaseNote/2020-Dec
华云安与您一起,时刻关注安全威胁。
华云安
华云安是一家面向网络空间安全领域,专注于漏洞研究、攻防对抗、产品研发、安全服务的高新技术企业。华云安拥有灵洞威胁与漏洞管理系统、灵刃智能化渗透攻防系统等网络安全产品及服务,为政府、金融、能源、教育、医疗等行业,提供集网络安全情报采集分析能力、关键信息基础设施防御能力、网络安全反制能力于一体的新一代自适应网络安全漏洞管理解决方案。华云安致力于为新形势下的网络安全和关键信息基础设施保护作出自身的贡献!
来源:freebuf.com 2020-12-17 15:05:07 by: 华云安huaun
请登录后发表评论
注册