华云安漏洞安全周报【第16期】 – 作者:华云安huaun

根据国家信息安全漏洞库（CNNVD）统计，本周（2021.1.4~2021.1.10）CNNVD接报漏洞6653个，信息技术产品漏洞（通用型漏洞）123个，网络信息系统漏洞（事件型漏洞）6530个，其中华云安报送117个，漏洞报送数量持续位居前列。（数据来源于CNNVD）

本周重点关注漏洞包括CVE-2020-17518-Apache Flink写入远程文件漏洞、CVE-2020-17519-Apache Flink读取远程文件漏洞、FortiWeb多个安全漏洞、Jackson-databind反序列化漏洞、CVE-2020-29583-Zyxel多个设备密码硬编码漏洞、致远OA文件上传漏洞、CVE-2020-3019-lanproxy目录遍历漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

CVE-2020-17518-Apache Flink写入远程文件漏洞

发布时间：2021年1月5日

2021年1月5日，Apache Flink官方发布安全更新，修复了Apache Flink写入远程文件漏洞。Flink核心是一个流式的数据流执行引擎，其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1 引入了REST API，可通过恶意修改的HTTP HEADER，将任意文件复制到文件系统的任意位置。

情报来源：

https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E

CVE-2020-17519-Apache Flink读取远程文件漏洞

发布时间：2021年1月5日

2021年1月5日，Apache Flink官方发布安全更新，修复了Apache Flink读取远程文件漏洞。Apache Flink 1.11.0-1.11.2中引入的一项更改，允许攻击者通过JobManager进程的REST接口读取本地文件系统上的任何文件，访问仅限于JobManager进程可访问的文件。

情报来源：

https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E

FortiWeb多个安全漏洞

发布时间：2021年1月7日

FortiWeb官方发布安全公告，FortiGate防火墙FortiWeb应用中存在安全漏洞。此次漏洞涉及范围较广，涵盖了CVE-2020-29015、CVE-2020-29016、CVE-2020-29018、CVE-2020-29019等四个漏洞，建议用户及时更新修复。

情报来源：

https://www.fortiguard.com/psirt?date=01-2021

Jackson-databind 反序列化漏洞

发布时间：2021年1月7日

Jackson-databind官方发布安全公告，通报了多个反序列化漏洞。FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的核心组件之一。该漏洞是由于 oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS 组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

情报来源：

https://github.com/FasterXML/jackson-databind/issues/3004

CVE-2020-29583-Zyxel多个设备密码硬编码漏洞

发布时间：2021年1月7日

Zyxel 官方发布安全公告，修复了部分Zyxel防火墙和AP控制器中存在的硬编码凭据漏洞。Zyxel是国际知名的网络宽带系统及解决方案的供应商。目前，全球有超过100000台Zyxel防火墙、VPN网关和访问点控制器。该漏洞是由于Zyxel防火墙和AP控制器中存在一个admin权限的默认账户“zyfwp”，其密码硬编码为“PrOw!aN_fXp”，攻击者可利用该漏洞暴露的账户以管理员权限登录，获取设备最高权限。

情报来源：

https://www.zyxel.com/support/CVE-2020-29583.shtml

致远OA文件上传漏洞

发布时间：2021年1月8日

致远OA官方发布安全公告，致远OA旧版本某些接口存在安全漏洞。致远OA是一款流行的协同管理软件，在各中、大型企业机构中广泛使用。该漏洞是由于致远OA旧版本某些接口能被未授权访问，并且部分函数存在过滤不足，攻击者通过构造恶意请求，可在未授权的情况下上传恶意脚本文件，从而控制服务器。

情报来源：

http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=1

CVE-2020-3019-lanproxy目录遍历漏洞

发布时间：2021年1月9日

lanproxy官方发布安全公告，披露了lanproxy工具存在安全漏洞。lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具。攻击者构造恶意请求，可直接获取到lanproxy配置文件，从而登录 lanproxy管理后台进入内网。

情报来源：

https://github.com/ffay/lanproxy

华云安

华云安是一家面向网络空间安全领域，专注于漏洞研究、攻防对抗、产品研发、安全服务的高新技术企业。公司在漏洞管理和威胁治理方面具备深厚的技术积累。拥有灵洞自适应威胁与漏洞管理系统、灵刃智能化渗透攻防系统等网络安全产品及服务，为政府、金融、能源、教育、医疗等行业，提供集网络安全情报采集分析能力、 关键信息基础设施防御能力、网络安全反制能力于一体的新一代云原生安全产品解决方案。实现威胁管理、攻击模拟、溯源分析、端点防御等一体化安全运营管理能力。华云安致力于为新形势下的网络安全和关键信息基础设施保护作出自身的贡献！

进入华云安漏洞情报平台参阅详情：https://vti.huaun.com/index/

来源：freebuf.com 2021-01-14 11:17:09 by: 华云安huaun