首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2019年第48周

宣布时间 2019-12-09

>本周清静态势综述

2019年12月02日至08日共收录清静误差48个，值得关注的是Google Kubernetes API重定向误差; D-Link DAP-1860下令注入代码执行误差；OpenBSD验证绕过误差；Apache Olingo AbstractService ObjectInputStream反序列化代码执行误差；Mozilla Firefox ESR worker destruction内存过失引用误差。

本周值得关注的网络清静事务是欧洲网络清静局宣布海事部分网络清静指南；Android误差StrandHogg可伪装成恣意应用；GoAhead Web服务器RCE误差影响大宗IoT装备；Autodesk、趋势科技及卡巴斯基曝DLL挟制误差；PCI SSC宣布非接触式支付的新数据清静标准。

凭证以上综述，本周清静威胁为中。

>主要清静误差列表

1. Google Kubernetes API重定向误差

Google Kubernetes API server没有准确验证URL的重定向，允许远程攻击者可以使用误差提交特殊的请求，将API服务器请求重定向到恣意主机。

https://github.com/kubernetes/kubernetes/issues/85867

2. D-Link DAP-1860下令注入代码执行误差

D-Link DAP-1860 HNAP_TIME和SOAPAction保存下令注入误差，允许远程攻击者可以使用误差提交特殊的请求，可执行恣意代码。

https://chung96vn.wordpress.com/2019/11/15/d-link-dap-1860-vulnerabilities/

3. OpenBSD验证绕过误差

OpenBSD验证系统保存清静误差，允许远程攻击者可以使用误差提交特殊的请求用户名，如"-option"或"-schallenge"，绕过清静限制，未授权会见系统。

https://packetstormsecurity.com/files/155572/Qualys-Security-Advisory-OpenBSD-Authentication-Bypass-Privilege-Escalation.html

4. Apache Olingo AbstractService ObjectInputStream反序列化代码执行误差

Apache Olingo AbstractService ObjectInputStream保存反序列化误差，允许远程攻击者可以使用误差提交特殊的请求，可执行恣意代码。

https://mail-archives.apache.org/mod_mbox/olingo-user/201912.mbox/%3CCAGSZ4d4vbSYaVh3aUWAvcVHK2qcFxxCZd3WAx3xbwZXskPX8nw%40mail.gmail.com%3E

5. Mozilla Firefox ESR worker destruction内存过失引用误差

Mozilla Firefox ESR worker destruction保存内存过失引用两次释放误差，允许远程攻击者使用误差提交特殊的WEB请求，诱使用户剖析，可使应用程序崩�；蛑葱许б獯�。

https://www.auscert.org.au/bulletins/ESB-2019.4555/

>主要清静事务综述

1、欧洲网络清静局宣布海事部分网络清静指南

优发国际·随优而动一触即发

欧洲网络清静局（ENISA）以《口岸网络清静-海事部分网络清静实践》为题宣布了海事部分网络清静指南，为口岸生态系统尤其是口岸政府和码头运营商中的CIO和CISO制订网络清静战略提供指导和资助。该指南列出了口岸生态系统面临的主要威胁，并形貌了可能对口岸生态系统造成影响的要害网络攻击场景。该指南为终端�；ず蜕芷谥卫怼⑽蟛钪卫怼⑷肆ψ试辞寰病⒐┯α粗卫淼壬杓屏饲寰膊椒�。

原文链接：

https://www.enisa.europa.eu/publications/port-cybersecurity-good-practices-for-cybersecurity-in-the-maritime-sector/

2、Android误差StrandHogg可伪装成恣意应用

优发国际·随优而动一触即发

Promon清静研究职员发明一个新的Android误差StrandHogg，该误差允许恶意应用伪装成恣意正当应用。该误差使用了Android的多使命处置惩罚功效，当用户点击一个正常应用的图标时，恶意应用可以使用该误差阻挡指令并向用户显示一个虚伪的界面，从而诱导用户授予种种权限。研究职员已经发明了36个正在起劲使用此误差的恶意应用，包括银行木马BankBot。研究职员称该误差的影响规模很是大，由于默认情形下大大都应用都易受攻击，并且现在没有可靠的要领来探测或阻止这种攻击。谷歌尚未在任何版本的Android上修复此问题。

原文链接：

https://www.bleepingcomputer.com/news/security/actively-exploited-strandhogg-vulnerability-affects-android-os/

3、GoAhead Web服务器RCE误差影响大宗IoT装备

优发国际·随优而动一触即发

思科Talos的清静专家在GoAhead嵌入式Web服务器中发明了两个误差，其中包括一个要害的远程代码执行误差（CVE-2019-5096）。该误差与GoAhead处置惩罚multi-part/form-data请求的方法有关，未经身份验证的攻击者可使用该误差触发use-after-free，并通过发送恶意HTTP请求在服务器上执行恣意代码。第二个误差（CVE-2019-5097）保存于统一组件中，可导致拒绝服务攻击。受影响的版本包括v5.0.1、v.4.1.1和v3.6.5。凭证Shodan的搜索效果，袒露在公网上的GoAhead服务器数目已凌驾130万。

原文链接：

https://thehackernews.com/2019/12/goahead-web-server-hacking.html

4、Autodesk、趋势科技及卡巴斯基曝DLL挟制误差

优发国际·随优而动一触即发

SafeBreach Labs研究职员披露Autodesk、趋势科技和卡巴斯基软件中的DLL挟制误差。趋势科技清静软件16.0.1221及以下版本受到CVE-2019-15628影响，该误差保存于coreServiceShell.exe组件中。由于未对加载的DLL署名举行验证，因此攻击者可加载和执行恣意DLL，导致白名单绕过、获得长期性、逃避检测以及潜在的特权升级等。Kaspersky Secure Connection和Autodesk桌面应用也划分受到类似的误差CVE-2019-15689和CVE-2019-7365的影响。

原文链接：

https://www.zdnet.com/article/researchers-disclose-bugs-in-autodesk-trend-micro-kaspersky-software/

5、PCI SSC宣布非接触式支付的新数据清静标准

优发国际·随优而动一触即发

PCI清静标准委员会（PCI SSC）宣布了用于非接触式支付的新数据清静标准。该标准允许带有NFC的COTS移动装备接受非接触式支付。PCI CPoC标准是该委员会为解决移动非接触式支付宣布的第二个标准。详细来说，PCI CPoC标准划定了供应商在�；な荨⒉馐砸蠛推拦澜饩黾苹矫娴囊恍┣寰采系囊�。标准的CPoC解决计划包括具有嵌入式NFC接口的COTS装备、履历证的付款软件以及自力于COTS装备的后端系统。

原文链接：

https://cyware.com/news/new-data-security-standards-published-for-contactless-payments-12566cb1

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

信息清静周报-2019年第48周

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

服务热线