首页 > 宁静研究 > 宁静通报 > 宁静周报

信息宁静周报-2019年第48周

宣布时间 2019-12-09

>本周宁静态势综述

2019年12月02日至08日共收录宁静漏洞48个，值得关注的是Google Kubernetes API重定向漏洞; D-Link DAP-1860命令注入代码执行漏洞；OpenBSD验证绕过漏洞；Apache Olingo AbstractService ObjectInputStream反序列化代码执行漏洞；Mozilla Firefox ESR worker destruction内存错误引用漏洞。

本周值得关注的网络宁静事件是欧洲网络宁静局宣布海事部门网络宁静指南；Android漏洞StrandHogg可伪装成任意应用；GoAhead Web服务器RCE漏洞影响大量IoT设备；Autodesk、趋势科技及卡巴斯基曝DLL劫持漏洞；PCI SSC宣布非接触式支付的新数据宁静尺度。

凭据以上综述，本周宁静威胁为中。

>重要宁静漏洞列表

1. Google Kubernetes API重定向漏洞

Google Kubernetes API server没有正确验证URL的重定向，允许远程攻击者可以利用漏洞提交特殊的请求，将API服务器请求重定向到任意主机。

https://github.com/kubernetes/kubernetes/issues/85867

2. D-Link DAP-1860命令注入代码执行漏洞

D-Link DAP-1860 HNAP_TIME和SOAPAction存在命令注入漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，可执行任意代码。

https://chung96vn.wordpress.com/2019/11/15/d-link-dap-1860-vulnerabilities/

3. OpenBSD验证绕过漏洞

OpenBSD验证系统存在宁静漏洞，允许远程攻击者可以利用漏洞提交特殊的请求用户名，如"-option"或"-schallenge"，绕过宁静限制，未授权访问系统。

https://packetstormsecurity.com/files/155572/Qualys-Security-Advisory-OpenBSD-Authentication-Bypass-Privilege-Escalation.html

4. Apache Olingo AbstractService ObjectInputStream反序列化代码执行漏洞

Apache Olingo AbstractService ObjectInputStream存在反序列化漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，可执行任意代码。

https://mail-archives.apache.org/mod_mbox/olingo-user/201912.mbox/%3CCAGSZ4d4vbSYaVh3aUWAvcVHK2qcFxxCZd3WAx3xbwZXskPX8nw%40mail.gmail.com%3E

5. Mozilla Firefox ESR worker destruction内存错误引用漏洞

Mozilla Firefox ESR worker destruction存在内存错误引用两次释放漏洞，允许远程攻击者利用漏洞提交特殊的WEB请求，诱使用户解析，可使应用法式崩�；蛑葱腥我獯�。

https://www.auscert.org.au/bulletins/ESB-2019.4555/

>重要宁静事件综述

1、欧洲网络宁静局宣布海事部门网络宁静指南

东森·(中国区)官方网站

欧洲网络宁静局（ENISA）以《口岸网络宁静-海事部门网络宁静实践》为题宣布了海事部门网络宁静指南，为口岸生态系统尤其是口岸政府和码头运营商中的CIO和CISO制定网络宁静计谋提供指导和资助。该指南列出了口岸生态系统面临的主要威胁，并描述了可能对口岸生态系统造成影响的要害网络攻击场景。该指南为终端�；ず蜕芷诠芾怼⒙┒垂芾怼⑷肆ψ试茨病⒐┯α垂芾淼壬杓屏四泊胧�。

原文链接：

https://www.enisa.europa.eu/publications/port-cybersecurity-good-practices-for-cybersecurity-in-the-maritime-sector/

2、Android漏洞StrandHogg可伪装成任意应用

东森·(中国区)官方网站

Promon宁静研究人员发现一个新的Android漏洞StrandHogg，该漏洞允许恶意应用伪装成任意合法应用。该漏洞利用了Android的多任务处置功效，当用户点击一个正常应用的图标时，恶意应用可以利用该漏洞拦截指令并向用户显示一个虚假的界面，从而诱导用户授予种种权限。研究人员已经发现了36个正在积极利用此漏洞的恶意应用，包罗银行木马BankBot。研究人员称该漏洞的影响范围非常大，因为默认情况下大多数应用都易受攻击，而且目前没有可靠的要领来探测或阻止这种攻击。谷歌尚未在任何版本的Android上修复此问题。

原文链接：

https://www.bleepingcomputer.com/news/security/actively-exploited-strandhogg-vulnerability-affects-android-os/

3、GoAhead Web服务器RCE漏洞影响大量IoT设备

东森·(中国区)官方网站

思科Talos的宁静专家在GoAhead嵌入式Web服务器中发现了两个漏洞，其中包罗一个要害的远程代码执行漏洞（CVE-2019-5096）。该漏洞与GoAhead处置multi-part/form-data请求的方式有关，未经身份验证的攻击者可利用该漏洞触发use-after-free，并通过发送恶意HTTP请求在服务器上执行任意代码。第二个漏洞（CVE-2019-5097）存在于同一组件中，可导致拒绝服务攻击。受影响的版本包罗v5.0.1、v.4.1.1和v3.6.5。凭据Shodan的搜索结果，袒露在公网上的GoAhead服务器数量已凌驾130万。

原文链接：

https://thehackernews.com/2019/12/goahead-web-server-hacking.html

4、Autodesk、趋势科技及卡巴斯基曝DLL劫持漏洞

东森·(中国区)官方网站

SafeBreach Labs研究人员披露Autodesk、趋势科技和卡巴斯基软件中的DLL劫持漏洞。趋势科技宁静软件16.0.1221及以下版本受到CVE-2019-15628影响，该漏洞存在于coreServiceShell.exe组件中。由于未对加载的DLL签名进行验证，因此攻击者可加载和执行任意DLL，导致白名单绕过、获得持久性、逃避检测以及潜在的特权升级等。Kaspersky Secure Connection和Autodesk桌面应用也分别受到类似的漏洞CVE-2019-15689和CVE-2019-7365的影响。

原文链接：

https://www.zdnet.com/article/researchers-disclose-bugs-in-autodesk-trend-micro-kaspersky-software/

5、PCI SSC宣布非接触式支付的新数据宁静尺度

东森·(中国区)官方网站

PCI宁静尺度委员会（PCI SSC）宣布了用于非接触式支付的新数据宁静尺度。该尺度允许带有NFC的COTS移动设备接受非接触式支付。PCI CPoC尺度是该委员会为解决移动非接触式支付宣布的第二个尺度。具体来说，PCI CPoC尺度规定了供应商在�；な荨⒉馐砸蠛推拦澜饩龇桨阜矫娴囊恍┠采系囊�。尺度的CPoC解决方案包罗具有嵌入式NFC接口的COTS设备、经验证的付款软件以及独立于COTS设备的后端系统。

原文链接：

https://cyware.com/news/new-data-security-standards-published-for-contactless-payments-12566cb1

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

信息宁静周报-2019年第48周

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线