首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2020年第11周

宣布时间 2020-03-16

> 本周清静态势综述

2020年03月09日至15日共收录清静误差67个，值得关注的是Microsoft Server Message Block压缩算法代码执行误差; Apache ShardingSphere unmarshal数据处置惩罚代码执行误差；SAP Solution Manager验证绕过误差；Johnson Controls Kantech EntraPass SmartService API服务选项代码执行误差；Barracuda Load Balancer ADC LDAP服务设置误差。

本周值得关注的网络清静事务是微软宣布针对SMBv3误差的KB4551762清静更新；Whisper数据库可果真会见，泄露约9亿条纪录；欧洲电力运营商同盟ENTSO-E办公网络遭黑客入侵；我国8项网络清静国家标准获批宣布；两种新的AMD侧信道攻击，影响Zen架构。

凭证以上综述，本周清静威胁为中。

>主要清静误差列表

1. Microsoft Server Message Block压缩算法代码执行误差

Microsoft Server Message Block SMBv3协议在处置惩罚恶意压缩数据包保存清静误差，允许远程攻击者使用误差提交特殊的请求，可以系统上下文执行恣意代码。

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796

2. Apache ShardingSphere unmarshal数据处置惩罚代码执行误差

Apache ShardingSphere WEB控制台SnakeYAML剖析数据保存清静误差，允许远程攻击者可以使用误差提交特殊的请求，可以应用程序上下文执行恣意代码。

https://lists.apache.org/thread.html/r4a61a24c119bd820da6fb02100d286f8aae55c8f9b94a346b9bb27d8%40%3Cdev.shardingsphere.apache.org%3E

3. SAP Solution Manager验证绕过误差

SAP Solution Manager验证检查保存清静误差，允许远程攻击者使用误差提交特殊的请求，通过SMDAgents未授权会见。

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305

4. Johnson Controls Kantech EntraPass SmartService API服务选项代码执行误差

Johnson Controls Kantech EntraPass SmartService API服务选项保存代码上传误差，允许远程攻击者使用误差提交特殊的上传请求，可以应用程序上下文执行恣意代码。

https://www.us-cert.gov/ics/advisories/icsa-20-070-04

5. Barracuda Load Balancer ADC LDAP服务设置误差

Barracuda Load Balancer ADC LDAP服务设置保存清静误差，允许远程攻击者使用误差提交特殊的请求，可未授权会见LDAP服务。

https://blog.rapid7.com/2020/03/05/r7-2019-39-cve-2019-5648-ldap-credential-exposure-in-barracuda-load-balancer-adc-fixed/

> 主要清静事务综述

1、微软宣布针对SMBv3误差的KB4551762清静更新

优发国际·随优而动一触即发

微软今天早些时间宣布了针对SMBv3 RCE误差（CVE-2020-0796）的补丁更新（KB4551762），用户可以通过Windows Update检查更新或从微软补丁目录（https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762）上手动下载适合自己Windows版本的KB4551762。微软体现虽然没有发明使用此误差的攻击，但建议用户优先装置此更新。此误差也被称为SMBGhost或EternalDarkness，仅影响运行Windows 10版本1903和1909以及Windows Server Server Core装置版本1903和1909的装备。

原文链接：

https://www.bleepingcomputer.com/news/security/microsoft-releases-kb4551762-security-update-for-smbv3-vulnerability/

2、Whisper数据库可果真会见，泄露约9亿条纪录

优发国际·随优而动一触即发

据《华盛顿邮报》报道，匿名神秘共享应用Whisper由于数据库可果真会见，导致约9亿条纪录泄露。研究职员Matthew Porter和Dan Ehrlich发明了该数据库，数据库中存储的数据是从2012年该APP宣布一直到现在的所有数据。只管纪录中不包括用户名，但其中包括昵称、年岁、种族、性别、家乡、整体成员关系以及与发帖相关的位置数据。这些位置信息包括来自用户最近发帖的坐标，例如特定的学校、事情场合和住民区。Whisper在接到通知后作废了该数据库的会见权限，并通知了联邦执法机构。

原文链接：

https://www.zdnet.com/article/whisper-an-anonymous-secret-sharing-app-failed-to-keep-messages-profiles-private/

3、欧洲电力运营商同盟ENTSO-E办公网络遭黑客入侵

优发国际·随优而动一触即发

欧洲电力运营商同盟（ENTSO-E）在一份简短的声明中体现，近期其办公网络遭到黑客入侵。由于该办公网络并未毗连到任何运营中的电力传输系统，这意味着攻击仅限于IT系统，没有影响要害控制系统。ENTSO-E总部位于布鲁塞尔，由35个欧洲国家的42家电网运营商组成。ENTSO-E体现已经举行了危害评估和制订了应急妄想，以镌汰进一步攻击的危害和影响，但没有透露与入侵何时最先以及谁可能对攻击认真有关的详细信息。

原文链接：

https://www.cyberscoop.com/european-entso-breach-fingrid/

4、我国8项网络清静国家标准获批宣布

优发国际·随优而动一触即发

凭证2020年3月6日国家市场监视治理总局、国家标准化治理委员会宣布的中华人民共和国国家标准通告（2020年第1号），天下信息清静标准化手艺委员会归口的GB/T 35273-2020《信息清静手艺小我私家信息清静规范》等8项国家标准正式宣布。详细清单包括GB/T 17901.1-2020《信息手艺清静手艺秘钥治理第1部分：框架》、GB/T 38540-2020《信息清静手艺清静电子签章密码手艺规范》、GB/T 38541-2020《信息清静手艺电子文件密码应用指南》、GB/T 38543-2020《信息清静手艺基于生物特征识别的移动智能终端身份判别手艺框架》、GB/T 38556-2020《信息清静手艺动态口令密码应用手艺规范》、GB/T 338558-2020《信息清静手艺办公装备清静测试要领》以及GB/T 38561-2020《信息清静手艺网络清静治理支持系统手艺要求》。所有8项标准的实验日期都是2020-10-01。

原文链接：

https://www.tc260.org.cn/front/postDetail.html?id=20200307152229

5、两种新的AMD侧信道攻击，影响Zen架构

优发国际·随优而动一触即发

格拉茨手艺大学宣布的一篇新论文详细先容了两种新的AMD CPU侧信道攻击，即Collide+Probe和Load+Reload攻击，攻击者可通过使用L1D缓存展望变量来走漏AMD处置惩罚器的神秘数据。研究职员称该误差影响了从2011年到2019年的所有AMD处置惩罚器，这意味着Zen架构一ㄜ到影响。该大学体现它已于2019年8月23日向AMD披露了这些误差，但AMD尚未宣布微代码更新，并称这些攻击并不是新的基于推测的攻击。

原文链接：

https://www.zdnet.com/article/amd-processors-from-2011-to-2019-vulnerable-to-two-new-attacks/

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

信息清静周报-2020年第11周

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

服务热线