首页
论坛
课程
招聘
[原创]华云安漏洞安全周报【第14期】
2020-12-30 17:21 3094

[原创]华云安漏洞安全周报【第14期】

2020-12-30 17:21
3094

根据国家信息安全漏洞库(CNNVD)统计,本周(2020. 12.21~2020.12.27)CNNVD接报漏洞21331个,其中信息技术产品漏洞(通用型漏洞)52个,网络信息系统漏洞(事件型漏洞)21279个。(数据来源于CNNVD

 

本周重点关注漏洞包括Apache Airflow错误会话漏洞、Dell Wyse ThinOS RCE漏洞、Windows Kernel 0day漏洞、Mozilla Firefox 缓冲区错误漏洞、TP-Link路由器产品信息泄露漏洞、Gobby代码问题漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。

Apache Airflow错误会话漏洞

发布时间:2020年12月21日
2020年12月21日,Apache官方发布的邮件中披露Apache Airflow存在一个由于错误处理会话验证导致的未授权访问漏洞。Airflow是Airbnb开源的一个用Python 编写的调度工具。如果用户使用了默认的密钥配置,攻击者就可以在其他的一个配置了默认密钥的站点进行登录,接着以登录后的session信息直接未授权访问受害者站点。
情报来源:

 

https://lists.apache.org/thread.html/rbeeb73a6c741f2f9200d83b9c2220610da314810c4e8c9cf881d47ef%40%3Cusers.airflow.apache.org%3E

Dell Wyse ThinOS RCE漏洞

发布时间:2020年12月21日
2020年12月21日, Dell官方发布安全公告,披露了两个严重漏洞(CVE-2020-29491和CVE-2020-29492)。Dell Wyse ThinOS两个漏洞均由是不安全的默认配置造成的,攻击者可以通过利用CVE-2020-29491来访问目标系统上的敏感信息,通过利用CVE-2020-29492来访问可写文件并修改目标系统上的Thin clients的配置。
情报来源:

 

https://www.dell.com/support/kbdoc/en-us/000180768/dsa-2020-281

Windows Kernel 0day漏洞

发布时间:2020年12月23日
Google公开了一个尚未发布补丁的splwow64组件漏洞CVE-2020-17008,该漏洞与6月份修复的漏洞(CVE-2020-0986)在同一个指令处理逻辑中,攻击者仍然可以通过发送偏移量来触发此漏洞,成功利用此漏洞可能造成信息泄露、提权。
情报来源:

 

https://bugs.chromium.org/p/project-zero/issues/detail?id=2096

Mozilla Firefox缓冲区错误漏洞

发布时间:2020年12月25日

 

Mozilla Firefox被曝出存在缓冲区错误漏洞,Mozilla Firefox是Mozilla基金会的一款开源Web浏览器。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等从而引起代码执行。
情报来源:

 

https://access.redhat.com/security/cve/cve-2020-35113

TP-Link路由器产品信息泄露漏洞

发布时间:2020年12月25日
TP-Link多款产品被曝出存在安全漏洞。TP-Link TL-WR940N等都是中国普联(TP-link)公司的产品。该漏洞源于Web界面的密码泄露,远程攻击者可利用该漏洞获得对Web面板的完全管理访问权。
情报来源:

 

https://www.tp-link.com/us/security

Gobby代码问题漏洞

发布时间:2020年12月26日
Gobby 0.4.11 存在安全漏洞,该漏洞允许在D-Bus处理程序中对某些set语言调用进行空指针解引用。Gobby是Gobby团队的一个多平台协作文本编辑器。该软件支持在Windows,Linux和Mac OS X上运行,允许多个用户通过Internet实时一起编辑同一文档。
情报来源:

 

https://github.com/gobby/gobby/pull/184

 

华云安与您一起,时刻关注安全威胁。

华云安

华云安是一家面向网络空间安全领域,专注于漏洞研究、攻防对抗、产品研发、安全服务的高新技术企业。华云安拥有灵洞威胁与漏洞管理系统、灵刃智能化渗透攻防系统等网络安全产品及服务,为政府、金融、能源、教育、医疗等行业,提供集网络安全情报采集分析能力、关键信息基础设施防御能力、网络安全反制能力于一体的新一代自适应网络安全漏洞管理解决方案。华云安致力于为新形势下的网络安全和关键信息基础设施保护作出自身的贡献!


[公告]春风十里不如你,看雪团队诚邀你的加入!

收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回