子比主题,更优雅的Wordpress主题
更优雅的WordPress网站主题:子比主题!全面开启

华云安漏洞安全周报【第11期】 – 作者:华云安huaun

0110

根据国家信息安全漏洞库(CNNVD)统计,本周(2020.11.30-2020.12.06)CNNVD接报漏洞8487个,其中信息技术产品漏洞(通用型漏洞)192个,华云安报送3个;网络信息系统漏洞(事件型漏洞)8295个。(数据来源于CNNVD

本周重点关注漏洞包括VMWare SD-WAN哈希传递漏洞、Docker 容器逃逸漏洞、Mozilla Firefox安全漏洞、Apache Tomcat HTTP / 2请求标头混淆漏洞、Python pip安全漏洞、Apache HTTP Server缓冲区错误漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。

VMWare SD-WAN哈希传递漏洞

发布时间:2020年12月1日

2020年11月18日,VMWare发布了VMSA-2020-0025的风险通告。该风险通告涉及多个漏洞。VMware SD-WAN by VeloCloud是VMWare为企业提供的软件定义的广域网。通过在物理广域网上叠加一层完全基于软件的虚拟广域网,用软件优化技术来提高虚拟广域网的数据传输效率,保证广域网的整体性能。近日关于其中两个严重漏洞的POC在互联网上公开。

情报来源:

https://www.vmware.com/security/advisories/VMSA-2020-0025.html

Docker 容器逃逸漏洞

发布时间:2020年11月30日

2020年11月30日,Containerd官方发布安全更新,修复了Docker 容器逃逸漏洞。Containerd是一个控制runC的守护进程,提供命令行客户端和API,用于在一个机器上管理容器。攻击者在一定条件下可通过访问containerd-shim API,从而实现Docker容器逃逸。

情报来源:

https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4

Mozilla Firefox 安全漏洞

发布时间:2020年12月3日

FireFox存在安全漏洞,Mozilla Firefox是Mozilla基金会的一款开源Web浏览器。该漏洞源于当在未知的交叉原点图像上绘制透明图像时,Skia库的drawImage函数会根据底层图像的内容花费可变的时间。这导致了通过定时侧通道攻击可能暴露图像内容的交叉源信息。

情报来源:

https://vigilance.fr/vulnerability/Firefox-Thunderbird-multiple-vulnerabilities-33912

Apache Tomcat HTTP / 2请求标头混淆漏洞

发布时间:2020年12月4日

Tomcat官方发布安全公告,Apache Tomcat的众多版本中存在安全漏洞。该漏洞会导致在一个HTTP/2的连接过程中,相连的后续请求中,可重新使用来自上一个HTTP请求头中的值。这可能会导致错误并关闭HTTP/2连接,会在请求之间造成信息泄漏。

情报来源:

http://tomcat.apache.org/security-10.html

Python pip安全漏洞

发布时间:2020年12月4日

Python是Python软件基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。Python pip 19.2之前版本中存在安全漏洞。攻击者借助该漏洞可以进行目录遍历。

情报来源:

https://github.com/pypa/pip/issues/6413

Apache HTTP Server缓冲区错误漏洞

发布时间:2020年12月4日

Apache HTTP Server的众多版本被曝出mod_uwsgi模块存在缓冲区错误漏洞。Apache HTTP Server是Apache Software基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。攻击者可利用该漏洞获取信息并可能执行代码。

情报来源:

http://httpd.apache.org/security/vulnerabilities_24.html

华云安与您一起,时刻关注安全威胁。

华云安

华云安是一家面向网络空间安全领域,专注于漏洞研究、攻防对抗、产品研发、安全服务的高新技术企业。华云安拥有灵洞威胁与漏洞管理系统、灵刃智能化渗透攻防系统等网络安全产品及服务,为政府、金融、能源、教育、医疗等行业,提供集网络安全情报采集分析能力、关键信息基础设施防御能力、网络安全反制能力于一体的新一代自适应网络安全漏洞管理解决方案。华云安致力于为新形势下的网络安全和关键信息基础设施保护作出自身的贡献!

来源:freebuf.com 2020-12-11 14:41:35 by: 华云安huaun

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
安全网站文章
喜欢就支持一下吧
点赞0
分享
相关推荐
安全小百科-公司成功上市啦! – 作者:KOAL格尔国信
公司成功上市啦! – 作者:KOAL格尔国信
公司成功上市啦! – 作者:KOAL格尔国信
3年前 4812
安全小百科-GeoServer漏洞利用总结及案例参考 – 作者:vlong6
GeoServer漏洞利用总结及案例参考 – 作者:vlong6
GeoServer漏洞利用总结及案例参考 – 作者:vlong6
3年前 1602
安全小百科-Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
3年前 750
安全小百科-Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
3年前 638
安全小百科-『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
3年前 551
评论 抢沙发

请登录后发表评论

搜索
开启精彩搜索
标签云
龟背龚某龙鱼龙马龙首龙车龙身龙芯龙生九子龙火龙海市龙泉驿区龙岩市龙女龙南县龙凤龙伯龍首龍門龍身
公司成功上市啦! - 作者:KOAL格尔国信-安全小百科

公司成功上市啦! – 作者:KOAL格尔国信

admin的头像-安全小百科3年前
048120
Comdev eCommerce 3.0 - 'config.php' Remote File Inclusion-安全小百科

Comdev eCommerce 3.0 – ‘config.php’ Remote File Inclusion

admin的头像-安全小百科3年前
47320
GeoServer漏洞利用总结及案例参考 - 作者:vlong6-安全小百科

GeoServer漏洞利用总结及案例参考 – 作者:vlong6

admin的头像-安全小百科3年前
016020
女祭女戚-安全小百科

女祭女戚

admin的头像-安全小百科3年前
011380
帆软10.0 Getshell漏洞分析-安全小百科

帆软10.0 Getshell漏洞分析

admin的头像-安全小百科3年前
010320
科锐逆向线上班完整版视频2020年 - 作者:hgjhf63fa-安全小百科

科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa

admin的头像-安全小百科3年前
08760
恐龙抗狼扛的头像-安全小百科

恐龙抗狼扛9月前0

kankan
admin的头像-安全小百科

啊啊啊啊3年前0

66666666666666