根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞329个,漏洞新增数量有所下降。其中,超危漏洞16个,高危漏洞152个,中危漏洞158个,低危漏洞3个。
华云安提示重点关注漏洞包括Nexus Repository Manager 2目录遍历漏洞、Apache HttpClient java.net.URI Authority Component安全漏洞、Zabbix远程执行代码漏洞、IBM Security Verify Access和IBM Security Access Manager安全漏洞、Apache Solr configset upload文件上传漏洞、Microsoft多个安全漏洞、VMware vCenter Server任意文件读取漏洞、SAP多个产品高危漏洞、Linux内核多个安全漏洞、Nexus Repository Manger 2&3权限验证绕过漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
Nexus Repository Manager 2目录遍历漏洞
发布时间:2020年10月8日
2020年10月8日,nexus repository manager 2发布了nexus repository manager 2目录遍历漏洞的风险通告。Nexus Repository是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。Nexus Repository Manager 2存在目录遍历漏洞,攻击者通过构造特定的请求,可以造成目录遍历以及敏感数据文件泄露。
情报来源:https://support.sonatype.com/hc/en-us/articles/360051068253-CVE-2020-15012-Nexus-Repository-Manager-2-Directory-Traversal-2020-10-08
Apache HttpClient java.net.URI Authority Component安全漏洞
发布时间:2020年10月8日
Apache HttpClient java.net.URI Authority Component存在安全漏洞,攻击者可以通过Apache HttpClient的java.net.URI Authority组件绕过对数据的访问限制,从而获取敏感信息
情报来源:http://mail-archives.apache.org/mod_mbox/www-announce/202010.mbox/%[email protected]%3e
Zabbix远程执行代码漏洞
发布时间:2020年10月9日
Zabbix官方发布安全公告,修复了Zabbix远程执行代码安全漏洞。Zabbix 是由 Alexei Vladishev开发的一种网络监视、管理系统,基于 Server-Client 架构。可用于监视各种网络服务、服务器和网络机器等状态。
情报来源:https://tanzu.vmware.com/security/cve-2020-5421
IBM Security Verify Access 和 IBM Security Access Manager 安全漏洞
发布时间:2020年10月9日
IBM官方发布安全公告,修复了IBM Security Access Manager和IBM Security Verify Access产品中的安全漏洞(CVE-2020-4699)。该漏洞允许攻击者使用定时侧信道攻击获取敏感信息,这有助于对系统造成进一步攻击。
情报来源:https://www.ibm.com/support/pages/node/6346619
Apache Solr configset upload文件上传漏洞
发布时间:2020年10月12日
2020年10月12日,Apache Solr发布安全更新,修复了Apache Solr configset upload文件上传漏洞。Apache Solr是一个开源的搜索服务,使用Java语言开发。Apache Solr Configset Api上传功能存在未授权漏洞,该漏洞被利用可导致RCE(远程代码执行)。
情报来源:https://www.mail-archive.com/[email protected]/msg06149.html
Microsoft多个安全漏洞
发布时间:2020年10月13日
2020年10月13日,Microsoft官方发布安全更新公告。其中包括87个CVE的补丁程序,涵盖了Azure Sphere、Microsoft Dynamics、Internet Explorer(IE)、Office、Microsoft Office SharePoint等众多组件和软件 。
情报来源:https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Oct
VMware vCenter Server任意文件读取漏洞
发布时间:2020年10月15日
在VMware vCenter 中存在一处任意文件读取漏洞,在vCenter Web 服务的特定路径下,存在一个未经校验的外部可控参数,可直接传入任意文件路径并返回具体文件内容,远程攻击者通过访问开放在外部的vCenter 控制台,可以任意读取主机上的文件。
情报来源:
https://www.vmware.com/products/vcenter-server.html
SAP多个产品高危漏洞
发布时间:2020年10月15日
SAP官方发布了安全更新,此次更新修复20多个安全漏洞。其中包括2个严重漏洞,6个高危漏洞。
情报来源:https://support.sap.com/en/my-support.html
Linux内核多个安全漏洞
发布时间:2020年10月16日
Google安全研究人员披露了三个Linux内核蓝牙协议栈的漏洞,其中包括一个高危漏洞和两个中危漏洞。近距离的远程攻击者通过向受影响的主机发送特制的请求内容,可以在无需用户交互的情况下实现远程代码执行,目前POC和漏洞细节已经在互联网上公开。
情报来源:https://git.kernel.org/pub/scm/linux/kernel/git/bluetooth/bluetooth-next.git/commit/?id=a2ec905d1e160a33b2e210e45ad30445ef26ce0e
Nexus Repository Manger 2&3权限验证绕过漏洞
发布时间:2020年10月16日
Sonatype官方发布了Nexus Repository Manger 2 & 3验证绕过漏洞安全通告。Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。
情报来源:https://help.sonatype.com
华云安与您一起,时刻关注安全威胁。
华云安
华云安是一家面向网络空间安全领域,专注于漏洞研究、攻防对抗、产品研发、安全服务的高新技术企业。华云安拥有灵洞威胁与漏洞管理系统、灵刃智能攻防渗透系统等网络安全产品及服务,为政府、金融、能源、教育、医疗等行业,提供集网络安全情报采集分析能力、关键信息基础设施防御能力、网络安全反制能力于一体的新一代自适应网络安全漏洞管理解决方案。华云安致力于为新形势下的网络安全和关键信息基础设施保护作出自身的贡献!
来源:freebuf.com 2020-10-22 10:17:57 by: 华云安huaun
请登录后发表评论
注册