东森平台

首页 > 宁静研究 > 宁静通报 > 宁静周报

信息宁静周报-2020年第33周

宣布时间 2020-08-17

> 本周宁静态势综述

2020年08月10日至08月16日共收录宁静漏洞77个，值得关注的是Apache Struts CVE-2019-0230代码执行漏洞；Citrix Systems XenMobile Server CVE-2020-8211未明任意代码执行漏洞；Schneider Electric APC Easy UPS On-Line `FileUploadServlet`路径遍历漏洞；SAP Business Objects Business Intelligence Platform Xvfb验证绕过漏洞; Shenzhen Hichip Vision Technology Firmware P2P服务代码执行漏洞。

本周值得关注的网络宁静事件是FBI警告伊朗黑客利用F5 BIG-IP漏洞攻击ADC设备；Check Point发现高通的Snapdragon芯片存在400多个漏洞；Nusenu发现未知组织劫持Tor近四分之一的出口节点；Adobe宣布宁静更新，修复多款产物中的26个漏洞；FBI和NSA联合披露俄罗斯针对Linux的恶意软件Drovorub。

凭据以上综述，本周宁静威胁为中。

> 重要宁静漏洞列表

1. Apache Struts CVE-2019-0230代码执行漏洞

Apache Struts框架在被强制使用时，会对标签的属性进行二次求值漏洞，允许远程攻击者利用漏洞提交特殊的请求，可执行任意代码。只有在Struts标签属性中强制使用OGNL表达式时，才气触发漏洞。

https://cwiki.apache.org/confluence/display/ww/s2-059

2. Citrix Systems XenMobile Server CVE-2020-8211未明任意代码执行漏洞

Citrix Systems XenMobile Server存在未明宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，可以应用法式上下文执行任意代码。

https://www.auscert.org.au/bulletins/ESB-2020.2780/

3. Schneider Electric APC Easy UPS On-Line `FileUploadServlet`路径遍历漏洞

Schneider Electric APC Easy UPS On-Line `FileUploadServlet`存在目录遍历漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，可上传任意文件到任意目录。

https://us-cert.cisa.gov/ics/advisories/icsa-20-224-02

4. SAP Business Objects Business Intelligence Platform Xvfb验证绕过漏洞

SAP Business Objects Business Intelligence Platform Xvfb存在验证绕过漏洞，允许远程攻击者利用漏洞提交特殊的请求，可未授权访问应用。

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345

5. Shenzhen Hichip Vision Technology Firmware P2P服务代码执行漏洞

Shenzhen Hichip Vision Technology Firmware P2P服务存在宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，可以应用法式上下文执行任意代码。

https://redprocyon.com

> 重要宁静事件综述

1、FBI警告伊朗黑客利用F5 BIG-IP漏洞攻击ADC设备

东森·(中国区)官方网站

原文链接：

https://www.bleepingcomputer.com/news/security/fbi-iranian-hackers-trying-to-exploit-critical-f5-big-ip-flaw/

2、Check Point发现高通的Snapdragon芯片存在400多个漏洞

东森·(中国区)官方网站

原文链接：

https://www.hackread.com/chip-flaws-turn-android-phones-into-spying-tool/

3、Nusenu发现未知组织劫持Tor近四分之一的出口节点

东森·(中国区)官方网站

原文链接：

https://www.zdnet.com/article/a-mysterious-group-has-hijacked-tor-exit-nodes-to-perform-ssl-stripping-attacks/

4、Adobe宣布宁静更新，修复多款产物中的26个漏洞

东森·(中国区)官方网站

原文链接：

https://www.bleepingcomputer.com/news/security/adobe-fixes-critical-code-execution-bugs-in-acrobat-and-reader/

5、FBI和NSA联合披露俄罗斯针对Linux的恶意软件Drovorub

东森·(中国区)官方网站

原文链接：

https://www.zdnet.com/article/fbi-and-nsa-expose-new-linux-malware-drovorub-used-by-russian-state-hackers/

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号