信息清静周报-2020年第28周

宣布时间 2020-07-14

> 本周清静态势综述


2020年07月06日至07月12日共收录清静误差65个,,,, ,,值得关注的是MobileIron Core身份验证绕过误差; RIOT base64解码器缓冲区溢出误差;;C-MORE HMI EA9验证绕过误差;;Citrix Systems Citrix Application Delivery Controller授权绕过误差;;Google Kubernetes martian代码注入误差。 。 。。


本周值得关注的网络清静事务是F5 BIG-IP误差CVE-2020-5902已遭到使用,,,, ,,建议用户尽快升级;;美国特勤局忠言,,,, ,,针对托管效劳提供商(MSP)的攻击增多;;CDATA OLT中保存多个0day,,,, ,,可通过telnet会见后门;;CISA宣布ICS 5年战略《确保工业系统清静:统一妄想》;;ACROS披露Zoom的Windows客户端中0day,,,, ,,可执行恣意代码。 。 。。


凭证以上综述,,,, ,,本周清静威胁为中。 。 。。



>主要清静误差列表


1.MobileIron Core身份验证绕过误差


MobileIron Core保存验证绕过清静误差,,,, ,,允许远程攻击者使用误差提交特殊的请求,,,, ,,可绕过清静机制未授权会见。 。 。。

https://www.mobileiron.com/en/blog/mobileiron-security-updates-available


2. RIOT base64解码器缓冲区溢出误差


RIOTbase64解码器base64_decode()保存缓冲区溢出误差,,,, ,,允许远程攻击者可以使用误差提交特殊的请求,,,, ,,可使应用程序瓦解唬或执行恣意代码。 。 。。

https://github.com/RIOT-OS/RIOT/pull/14400


3. C-MORE HMI EA9验证绕过误差


C-MORE HMI EA9保存验证绕过,,,, ,,允许远程攻击者可以使用误差提交特殊的请求,,,, ,,可未授权会见。 。 。。

https://www.zerodayinitiative.com/advisories/ZDI-20-805/


4. Citrix Systems Citrix Application Delivery Controller授权绕过误差


Citrix Systems Citrix Application Delivery Controller保存清静误差,,,, ,,允许远程攻击者使用误差提交特殊的请求,,,, ,,可绕过清静限制,,,, ,,未授权会见。 。 。。

https://support.citrix.com/article/CTX276688


5. Google Kubernetes martian代码注入误差


GoogleKubernetes保存代码注入误差,,,, ,,允许远程攻击者可以使用误差提交特殊的请求,,,, ,,可获取权限或会见监听当田主机端口的恣意效劳的敏感信息。 。 。。

https://access.redhat.com/security/cve/cve-2020-8558



> 主要清静事务综述


1、F5 BIG-IP误差CVE-2020-5902已遭到使用,,,, ,,建议用户尽快升级


人生就是博-尊龙凯时中国官网


原文链接:

https://www.zdnet.com/article/hackers-are-trying-to-steal-admin-passwords-from-f5-big-ip-devices/


2、美国特勤局忠言,,,, ,,针对托管效劳提供商(MSP)的攻击增多


人生就是博-尊龙凯时中国官网


原文链接:

https://www.zdnet.com/article/us-secret-service-reports-an-increase-in-hacked-managed-service-providers-msps/#ftag=RSSbaffb68  


3、CDATA OLT中保存多个0day,,,, ,,可通过telnet会见后门


人生就是博-尊龙凯时中国官网


原文链接:

https://pierrekim.github.io/blog/2020-07-07-cdata-olt-0day-vulnerabilities.html


4、CISA宣布ICS 5年战略《确保工业系统清静:统一妄想》


人生就是博-尊龙凯时中国官网


原文链接:

https://us-cert.cisa.gov/ncas/current-activity/2020/07/07/cisa-releases-securing-industrial-control-systems-unified


5、ACROS披露Zoom的Windows客户端中0day,,,, ,,可执行恣意代码


人生就是博-尊龙凯时中国官网


原文链接:

https://www.zdnet.com/article/zoom-working-on-patching-zero-day-disclosed-in-its-windows-client/#ftag=RSSbaffb68