首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第11周

颁布功夫 2020-03-16

> 本周安全态势综述

2020年03月09日至15日共收录安全缝隙67个，值得关注的是Microsoft Server Message Block压缩算法代码执行缝隙; Apache ShardingSphere unmarshal数据处置代码执行缝隙；SAP Solution Manager验证绕过缝隙；Johnson Controls Kantech EntraPass SmartService API服务选项代码执行缝隙；Barracuda Load Balancer ADC LDAP服务配置缝隙。

本周值得关注的网络安全事务是微软颁布针对SMBv3缝隙的KB4551762安全更新；Whisper数据库可公开接见，泄露约9亿笔纪录；欧洲电力运营商同盟ENTSO-E办公网络遭黑客入侵；我国8项网络安全国度尺度获批颁布；两种新的AMD侧信路攻击，影响Zen架构。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1. Microsoft Server Message Block压缩算法代码执行缝隙

Microsoft Server Message Block SMBv3和谈在处置恶意压缩数据包存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，能够系统高低文执行肆意代码。

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796

2. Apache ShardingSphere unmarshal数据处置代码执行缝隙

Apache ShardingSphere WEB节造台SnakeYAML解析数据存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，能够利用法式高低文执行肆意代码。

https://lists.apache.org/thread.html/r4a61a24c119bd820da6fb02100d286f8aae55c8f9b94a346b9bb27d8%40%3Cdev.shardingsphere.apache.org%3E

3. SAP Solution Manager验证绕过缝隙

SAP Solution Manager验证查抄存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，通过SMDAgents未授权接见。

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305

4. Johnson Controls Kantech EntraPass SmartService API服务选项代码执行缝隙

Johnson Controls Kantech EntraPass SmartService API服务选项存在代码上传缝隙，允许远程攻击者利用缝隙提交特殊的上传要求，能够利用法式高低文执行肆意代码。

https://www.us-cert.gov/ics/advisories/icsa-20-070-04

5. Barracuda Load Balancer ADC LDAP服务配置缝隙

Barracuda Load Balancer ADC LDAP服务配置存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，可未授权接见LDAP服务。

https://blog.rapid7.com/2020/03/05/r7-2019-39-cve-2019-5648-ldap-credential-exposure-in-barracuda-load-balancer-adc-fixed/

> 沉要安全事务综述

1、微软颁布针对SMBv3缝隙的KB4551762安全更新

GA黄金甲·(中国区)官方网站

微软今天早些时辰颁布了针对SMBv3 RCE缝隙（CVE-2020-0796）的补丁更新（KB4551762），用户能够通过Windows Update查抄更新或从微软补丁目录（https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762）上手动下载适合自己Windows版本的KB4551762。微软暗示固然没有发现利用此缝隙的攻击，但建议用户优先装置此更新。此缝隙也被称为SMBGhost或EternalDarkness，仅影响运行Windows 10版本1903和1909以及Windows Server Server Core装置版本1903和1909的设备。

原文链接：

https://www.bleepingcomputer.com/news/security/microsoft-releases-kb4551762-security-update-for-smbv3-vulnerability/

2、Whisper数据库可公开接见，泄露约9亿笔纪录

GA黄金甲·(中国区)官方网站

据《华盛顿邮报》报路，匿名奥秘共享利用Whisper由于数据库可公开接见，导致约9亿笔纪录泄露。钻研人员Matthew Porter和Dan Ehrlich发现了该数据库，数据库中存储的数据是从2012年该APP颁布一向到此刻的所罕见据。只管纪录中不蕴含用户名，但其中蕴含昵称、春秋、种族、性别、家乡、集体成员关系以及与发帖有关的地位数据。这些位相信息蕴含来自用户最近发帖的坐标，例如特定的学堂、工作场所和居民区。Whisper在接到通知后撤销了该数据库的接见权限，并通知了联国法律机构。

原文链接：

https://www.zdnet.com/article/whisper-an-anonymous-secret-sharing-app-failed-to-keep-messages-profiles-private/

3、欧洲电力运营商同盟ENTSO-E办公网络遭黑客入侵

GA黄金甲·(中国区)官方网站

欧洲电力运营商同盟（ENTSO-E）在一份简短的申明中暗示，近期其办公网络遭到黑客入侵。由于该办公网络并未衔接到任何运营中的电力传输系统，这意味着攻击仅限于IT系统，没有影响关键节造系统。ENTSO-E总部位于布鲁塞尔，由35个欧洲国度的42家电网运营商组成。ENTSO-E暗示已经进行了风险评估和造订了应急打算，以削减进一步攻击的风险和影响，但没有泄漏与入侵何时起头以及谁可能对攻击掌管有关的具体信息。

原文链接：

https://www.cyberscoop.com/european-entso-breach-fingrid/

4、我国8项网络安全国度尺度获批颁布

GA黄金甲·(中国区)官方网站

凭据2020年3月6日国度市场监督治理总局、国度尺度化治理委员会颁布的中华人民共和国国度尺度布告（2020年第1号），全国信息安全尺度化技术委员会归口的GB/T 35273-2020《信息安全技术幼我信息安全规范》等8项国度尺度正式颁布。具体清单蕴含GB/T 17901.1-2020《信息技术安全技术秘钥治理第1部门：框架》、GB/T 38540-2020《信息安全技术安全电子签章密码技术规范》、GB/T 38541-2020《信息安全技术电子文件密码利用指南》、GB/T 38543-2020《信息安全技术基于生物特点识此外移动智能终端身份甄别技术框架》、GB/T 38556-2020《信息安全技术动态口令密码利用技术规范》、GB/T 338558-2020《信息安全技术办公设备安全测试步骤》以及GB/T 38561-2020《信息安全技术网络安全治理支持系统技术要求》。所有8项尺度的执行日期都是2020-10-01。

原文链接：

https://www.tc260.org.cn/front/postDetail.html?id=20200307152229

5、两种新的AMD侧信路攻击，影响Zen架构

GA黄金甲·(中国区)官方网站

格拉茨技术大学颁布的一篇新论文具体介绍了两种新的AMD CPU侧信路攻击，即Collide+Probe和Load+Reload攻击，攻击者可通过把持L1D缓存预测变量来泄漏AMD处置器的机密数据。钻研人员称该缝隙影响了从2011年到2019年的所有AMD处置器，这意味着Zen架构也受到影响。该大学暗示它已于2019年8月23日向AMD披露了这些缝隙，但AMD尚未颁布微代码更新，并称这些攻击并不是新的基于揣摩的攻击。

原文链接：

https://www.zdnet.com/article/amd-processors-from-2011-to-2019-vulnerable-to-two-new-attacks/

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2020年第11周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线