2020年前三季度漏洞回顾

类别: 时间:2020-10-16 浏览:9865
2020年Q3已经结束,前三季度华云安向国家信息安全漏洞库CNNVD共上报漏洞1375个、预警信息近200次。

preview

现与大家共同回顾本阶段Microsoft、Weblogic、Apache、Fastjson、WebSphere、Jenkins等出现过的重要漏洞,与大家一起做好漏洞的防护和管理。

Apache

CVE-2020-1957 Apache Shiro <1.5.2权 限绕过漏洞

发布时间:2020年3月23日

情报摘要:Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的 Java 安全框架。3月24日,Apache Shiro官方发布安全更新版本 1.5.2,修复了一个权限绕过漏洞(CVE-2020-1957),攻击者可利用该漏洞,构造恶意请求,绕过安全限制,获取访问权限。

官方链接:http://shiro.apache.org/download.html

CVE-2020-9484 Apache Tomcat 反序列化代码执行漏洞

发布时间:2020年5月20日

情报摘要:Apache Tomcat 是一个开放源代码、运行servlet和JSPWeb应用软件的基于Java的Web应用软件容器。当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞,攻击者通过精心构造的数据包,可以对使用了自带session同步功能的Tomcat服务器进行攻击。

官方链接:https://tomcat.apache.org/security.html

CVE-2020-1956 Apache Kylin 远程代码执行漏洞

发布时间:2020年5月28日

情报摘要:Apache Kylin官方发布安全公告,披露了一个Apache Kylin远程代码执行漏洞。Kylin有一些restful API,可以将os命令与用户输入字符串连接起来,攻击者可以在Kylin没有任何保护或验证的情况下执行任何os命令。

官方链接:http://kylin.apache.org/cn/download/

CVE-2020-9483 Apache SkyWalking SQL注入漏洞

发布时间:2020年6月22日

情报摘要:远程攻击者可以通过Apache SkyWalking默认开放的未授权GraphQL接口构造恶意请求包进行注入,成功利用此漏洞可造成敏感数据泄漏。

官方链接:https://github.com/apache/skywalking/releases

CVE-2020-11989 Apache Shiro 身份验证绕过漏洞

发布时间:2020年6月22日

情报摘要:当 Apache Shiro 与 Spring Dynamic Controllers 一起使用时,远程攻击者可以通过构造恶意请求包进行利用,成功利用此漏洞可绕过身份验证。

官方链接:https://github.com/apache/shiro/releases

CVE-2020-1948 Apache Dubbo远程代码执行漏洞

发布时间:2020年6月23日

情报摘要:Apache Dubbo官方披露了Provider默认反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可以发送带有无法识别的服务名或方法名的RPC请求,以及一些恶意的参数负载。当恶意参数被反序列化时,攻击者可构造恶意请求执行任意代码。

官方链接:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

CVE-2020-9480 Apache Spark 远程代码执行漏洞

发布时间:2020年6月24日

情报摘要:在 Apache Spark 2.4.5 以及更早版本中,独立资源管理器的主服务器可能被配置为需要通过共享密钥进行身份验证(spark.authenticate)。然而,由于 Spark 的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在未授权的情况下,在主机上执行命令,造成远程代码执行。

官方链接:https://github.com/apache/spark/releases

CVE-2020-11996 Apache Tomcat HTTP / 2 DoS漏洞

发布时间:2020年6月29日

情报摘要:Apache Tomcat发布一条通知,指出Apache Tomcat上存在一个HTTP / 2拒绝服务漏洞。特制的HTTP / 2请求序列可能会在几秒钟内触发较高的CPU使用率,如果在并发HTTP / 2连接上发出足够数量的此类请求,则服务器可能会无响应。

官方链接:https://tomcat.apache.org

CVE-2019-0230 Apache Struts远程代码执行漏洞

发布时间:2020年8月13日

情报摘要:Apache Struts官方发布安全公告,披露S2-059 Struts远程代码执行漏洞。在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。

官方链接:https://cwiki.apache.org/confluence/display/WW/S2-059

CVE-2020-13946 Apache Cassandra RMI重新绑定漏洞

发布时间:2020年9月2日

情报摘要:在Apache Cassandra中,本地攻击者可进行中间人攻击,并捕获用于访问JMX界面的用户名和密码。然后,攻击者可以使用这些凭据来访问JMX界面并执行未经授权的操作。

官方链接:https://www.mail-archive.com/dev@cassandra.apache.org/msg15735.html

Apache ActiveMQ JMX易受中间人攻击漏洞

发布时间:2020年9月10日

情报摘要:Apache ActiveMQ是Apache软件基金会所研发的开放源码消息中间件。使用“LocateRegistry.createRegistry()”创建JMX RMI注册表。攻击者可能在没有身份验证的情况下连接到此注册表,并调用“LocateRegistry.createRegistry()”重新创建注册表,可将JMX RMI绑定在由攻击者控制的恶意的代理节点上,导致中间人攻击。

官方链接:https://mp.weixin.qq.com/s/f-QeIPX92-8Lu1lDxuKeIw

Apache DolphinScheduler两个高危漏洞

发布时间:9月11日

情报摘要:Apache软件基金会发布安全公告,修复了Apache DolphinScheduler权限覆盖漏洞与Apache DolphinScheduler远程执行代码漏洞。

远程代码执行漏洞与mysql connectorj远程执行代码漏洞有关,在选择mysql作为数据库时,攻击者可通过jdbc connect参数输入{“detectCustomCollations”:true,“autoDeserialize”:true}

在DolphinScheduler 服务器上远程执行代码。权限覆盖漏洞导致普通用户可通过api interface在DolphinScheduler 系统中覆盖其他用户的密码:api interface /dolphinscheduler/users/update

官方链接:

https://www.mail-archive.com/announce@apache.org/msg06077.html

https://www.mail-archive.com/announce@apache.org/msg06076.html

Weblogic

CVE-2020-2551 WebLogic远程代码执行漏洞

发布时间:2020年1月15日

情报摘要:攻击者可以通过IIOP协议远程访问Weblogic Server服务器上的远程接口,传入恶意数据,从而获取服务器权限并在未授权情况下远程执行任意代码。

官方链接:https://www.oracle.com/security-alerts/cpujan2020.html

WebLogic Server多个安全漏洞

发布时间:2020年4月14日

情报摘要:2020年4月14日,Oracle官方发布了2020年4月关键补丁更新公告CPU(Critical Patch Update),安全通告以及第三方安全公告等公告内容,修复了397个不同程度的漏洞

官方链接:https://www.oracle.com/security-alerts/cpuapr2020.html

Weblogic 多个远程代码执行漏洞

发布时间:2020年7月14日

情报摘要:近日,Oracle 发布了大量安全补丁,涉及旗下产品(Databa se Server、Weblogic Server、Java SE、MySQL等)的 433 个漏洞。此次修复的漏洞中包括 8 个和 Weblogic 相关的高危漏洞(CVE-2020-9546、CVE-2018-11058、CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687、CVE-2017-5645 Centralized Thirdparty Jars (Log4j)、CVE-2017-5645 Console (Log4j)),CVSS评分均为 9.8,利用难度低,攻击者可借此实现远程代码执行,其中 CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687 漏洞和 T3、IIOP 协议有关(T3、IIOP 协议用于在 WebLogic 和其他 Java 程序之间传输数据)。

官方链接:https://www.oracle.com/security-alerts/cpujul2020.html

Microsoft

Microsoft 1月安全更新

发布时间:2020年1月14日

情报摘要:Microsoft发布的1月安全更新中,修复了其多款产品存在的204个安全漏洞,涉及到Windows Server、WindowsRT、Internet Explorer等软件。

官方链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv990001

Microsoft 2月安全更新

发布时间:2020年2月11日

情报摘要:2020年2月11日,Microsoft发布安全更新,其中涉及26个CVE漏洞,并且标记了一个已被利用的0 day安全漏洞。

官方链接:https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Feb

Microsoft 3月安全更新

发布时间:2020年3月10日

情报摘要:Microsoft官方3月份发布的安全更新中,涉及到Microsoft Edge(基于EdgeHTML),Microsoft Edge(基于Chromium),Microsoft Exchange服务器等软件。

官方链接:https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Mar

Microsoft 4月安全更新

发布时间:2020年4月14日

情报摘要:2020年4月14日,Microsoft官方共发布了113个漏洞补丁程序。其中,18个远程代码执行漏洞被微软官方标记为紧急漏洞,包括AdobeFont ManagerLibrary、MicrosoftGraphics Components、WindowsHyper-V、SharePoint、MediaFoundation、MicrosoftWindows Codecs Library、DynamicsBusiness Central 以及VBScript、Chakra等脚本引擎 。

官网链接:https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Apr

Microsoft 5月安全更新

发布时间:2020年5月12日

情报摘要:微软2020年5月补丁日发布100多个安全漏洞补丁,其中包含10个严重安全漏洞,包括不限于影响以下组件:

Microsoft Windows、Internet Explorer、Microsoft Edge、.NET Framework、Microsoft Office、Visual Studio

官方链接:https://portal.msrc.microsoft.com/en-us/security-guidance

Microsoft 6月安全更新

发布时间:2020年6月9日

情报摘要:2020年6月9日,Microsoft官方发布安全更新,涉及到Microsoft Edge(基于EdgeHTML),Microsoft Office和Microsoft Office Services和Web应用程序,IE浏览器等软件服务,其中编号为CVE-2020-1301,CVE-2020-1181的漏洞影响严重。

官方链接:https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Jun

Microsoft Windows 编解码器库远程执行代码漏洞

发布时间:2020年7月1日

情报摘要:Microsoft官方发布了 Microsoft Windows 编解码器库远程执行代码漏洞的风险通告。由于漏洞位于Windows Codecs Library中,因此研究人员认为攻击者很容易就可以使用社会工程攻击方法来使受害者从互联网上下载和运行恶意媒体文件,因此漏洞被利用的可能性很高。

官方链接:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-1425

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-1457

Microsoft 7月安全更新

发布时间:2020年7月14日

情报摘要:微软官方发布了7月份的安全更新,此次安全更新发布了 123 个漏洞的补丁,主要涵盖了:Windows操作系统、商业版Skype、IE/Edge浏览器、ChakraCore、Visual Studio、.Net 框架、Azure DevOps、Office及Office服务和Web应用、微软恶意软件防护引擎。其中包括18个严重漏洞,105个高危漏洞。建议广大用户及时将 Windows各项组件 升级到最新版本。

官方链接:https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Jul

Microsoft 8月安全更新

发布时间:2020年8月11日

情报摘要:微软官方 发布了 8月份的风险通告,此次安全更新发布了 120 个漏洞的补丁,主要涵盖了以下组件: Windows操作系统、IE/Edge浏览器、ChakraCore、脚本引擎、SQL Server、.Net 框架、Windows编解码器库 。其中包括 17 个严重漏洞,103个高危漏洞。

官方链接:https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Aug

Microsoft 9月安全更新

发布时间:2020年9月8日

情报摘要:2020年9月安全更新,包括129个CVE,其中严重级别23个,重要级别104个。

按漏洞性质分类:38个可导致远程代码执行,41个可导致特权提升,23个可导致信息泄露,5个可导致拒绝服务,4个可导致安全功能绕过。

官方链接:https://portal.msrc.microsoft.com/zh-cn/security-guidance/releasenotedetail/2020-Sep

Fastjson

Fastjson <=1.2.68全版本远程代码执行漏洞

发布时间:2020年5月28日

情报摘要:Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 。autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。漏洞实际造成的危害与 gadgets 有关,gadgets中使用的类必须不在黑名单中,本漏洞无法绕过黑名单的限制。

官方链接:https://github.com/alibaba/fastjson/wiki/security_update_20200601

Fastjson <1.2.69反序列化远程代码执行漏洞

发布时间:2020年6月1日

情报摘要:fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。

官方链接:https://github.com/alibaba/fastjson/releases/tag/1.2.69

CVE-2020-24616 Jackson反序列化安全漏洞

发布时间:2020年8月26日

情报摘要:Fasterxml jackson-databind 2.9.10.6之前的版本中存在安全漏洞,该漏洞源于进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷通过利用该漏洞在系统上执行任意代码。

官方链接:https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6

Jenkins

Jenkins插件9个安全漏洞

发布时间:2020年5月6日

情报摘要:Jenkins官方发布安全公告修复插件中的9个漏洞,有5个插件受到影响,涉及到凭据泄露、权限校验不当、跨站请求伪造、远程代码执行等安全问题。Jenkins是一款基于Java开发的开源项目,用于持续集成和持续交付的自动化中间件,是开发过程中常用的产品,相关统计数据表明,有5万多Jenkins服务开放在公网。为保证Jenkins服务器的安全,建议相关用户将受影响的Jenkins插件升级至安全版本。

相关推荐