首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2020年第11周

宣布时间 2020-03-16

> 本周清静态势综述

2020年03月09日至15日共收录清静误差67个，，，，，值得关注的是Microsoft Server Message Block压缩算法代码执行误差; Apache ShardingSphere unmarshal数据处置惩罚代码执行误差；；；；；SAP Solution Manager验证绕过误差；；；；；Johnson Controls Kantech EntraPass SmartService API效劳选项代码执行误差；；；；；Barracuda Load Balancer ADC LDAP效劳设置误差。。。。。

本周值得关注的网络清静事务是微软宣布针对SMBv3误差的KB4551762清静更新；；；；；Whisper数据库可果真会见，，，，，泄露约9亿条纪录；；；；；欧洲电力运营商同盟ENTSO-E办公网络遭黑客入侵；；；；；我国8项网络清静国家标准获批宣布；；；；；两种新的AMD侧信道攻击，，，，，影响Zen架构。。。。。

凭证以上综述，，，，，本周清静威胁为中。。。。。

>主要清静误差列表

1. Microsoft Server Message Block压缩算法代码执行误差

Microsoft Server Message Block SMBv3协议在处置惩罚恶意压缩数据包保存清静误差，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，可以系统上下文执行恣意代码。。。。。

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796

2. Apache ShardingSphere unmarshal数据处置惩罚代码执行误差

Apache ShardingSphere WEB控制台SnakeYAML剖析数据保存清静误差，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，可以应用程序上下文执行恣意代码。。。。。

https://lists.apache.org/thread.html/r4a61a24c119bd820da6fb02100d286f8aae55c8f9b94a346b9bb27d8%40%3Cdev.shardingsphere.apache.org%3E

3. SAP Solution Manager验证绕过误差

SAP Solution Manager验证检查保存清静误差，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，通过SMDAgents未授权会见。。。。。

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305

4. Johnson Controls Kantech EntraPass SmartService API效劳选项代码执行误差

Johnson Controls Kantech EntraPass SmartService API效劳选项保存代码上传误差，，，，，允许远程攻击者使用误差提交特殊的上传请求，，，，，可以应用程序上下文执行恣意代码。。。。。

https://www.us-cert.gov/ics/advisories/icsa-20-070-04

5. Barracuda Load Balancer ADC LDAP效劳设置误差

Barracuda Load Balancer ADC LDAP效劳设置保存清静误差，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，可未授权会见LDAP效劳。。。。。

https://blog.rapid7.com/2020/03/05/r7-2019-39-cve-2019-5648-ldap-credential-exposure-in-barracuda-load-balancer-adc-fixed/

> 主要清静事务综述

1、微软宣布针对SMBv3误差的KB4551762清静更新

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

微软今天早些时间宣布了针对SMBv3 RCE误差（CVE-2020-0796）的补丁更新（KB4551762），，，，，用户可以通过Windows Update检查更新或从微软补丁目录（https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762）上手动下载适合自己Windows版本的KB4551762。。。。。微软体现虽然没有发明使用此误差的攻击，，，，，但建议用户优先装置此更新。。。。。此误差也被称为SMBGhost或EternalDarkness，，，，，仅影响运行Windows 10版本1903和1909以及Windows Server Server Core装置版本1903和1909的装备。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/microsoft-releases-kb4551762-security-update-for-smbv3-vulnerability/

2、Whisper数据库可果真会见，，，，，泄露约9亿条纪录

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

据《华盛顿邮报》报道，，，，，匿名神秘共享应用Whisper由于数据库可果真会见，，，，，导致约9亿条纪录泄露。。。。。研究职员Matthew Porter和Dan Ehrlich发明了该数据库，，，，，数据库中存储的数据是从2012年该APP宣布一直到现在的所有数据。。。。。只管纪录中不包括用户名，，，，，但其中包括昵称、年岁、种族、性别、家乡、整体成员关系以及与发帖相关的位置数据。。。。。这些位置信息包括来自用户最近发帖的坐标，，，，，例如特定的学校、事情场合和住民区。。。。。Whisper在接到通知后作废了该数据库的会见权限，，，，，并通知了联邦执法机构。。。。。

原文链接：

https://www.zdnet.com/article/whisper-an-anonymous-secret-sharing-app-failed-to-keep-messages-profiles-private/

3、欧洲电力运营商同盟ENTSO-E办公网络遭黑客入侵

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

欧洲电力运营商同盟（ENTSO-E）在一份简短的声明中体现，，，，，近期其办公网络遭到黑客入侵。。。。。由于该办公网络并未毗连到任何运营中的电力传输系统，，，，，这意味着攻击仅限于IT系统，，，，，没有影响要害控制系统。。。。。ENTSO-E总部位于布鲁塞尔，，，，，由35个欧洲国家的42家电网运营商组成。。。。。ENTSO-E体现已经举行了危害评估和制订了应急妄想，，，，，以镌汰进一步攻击的危害和影响，，，，，但没有透露与入侵何时最先以及谁可能对攻击认真有关的详细信息。。。。。

原文链接：

https://www.cyberscoop.com/european-entso-breach-fingrid/

4、我国8项网络清静国家标准获批宣布

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

凭证2020年3月6日国家市场监视治理总局、国家标准化治理委员会宣布的中华人民共和国国家标准通告（2020年第1号），，，，，天下信息清静标准化手艺委员会归口的GB/T 35273-2020《信息清静手艺小我私家信息清静规范》等8项国家标准正式宣布。。。。。详细清单包括GB/T 17901.1-2020《信息手艺清静手艺秘钥治理第1部分：框架》、GB/T 38540-2020《信息清静手艺清静电子签章密码手艺规范》、GB/T 38541-2020《信息清静手艺电子文件密码应用指南》、GB/T 38543-2020《信息清静手艺基于生物特征识别的移动智能终端身份判别手艺框架》、GB/T 38556-2020《信息清静手艺动态口令密码应用手艺规范》、GB/T 338558-2020《信息清静手艺办公装备清静测试要领》以及GB/T 38561-2020《信息清静手艺网络清静治理支持系统手艺要求》。。。。。所有8项标准的实验日期都是2020-10-01。。。。。

原文链接：

https://www.tc260.org.cn/front/postDetail.html?id=20200307152229

5、两种新的AMD侧信道攻击，，，，，影响Zen架构

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

格拉茨手艺大学宣布的一篇新论文详细先容了两种新的AMD CPU侧信道攻击，，，，，即Collide+Probe和Load+Reload攻击，，，，，攻击者可通过使用L1D缓存展望变量来走漏AMD处置惩罚器的神秘数据。。。。。研究职员称该误差影响了从2011年到2019年的所有AMD处置惩罚器，，，，，这意味着Zen架构一ㄜ到影响。。。。。该大学体现它已于2019年8月23日向AMD披露了这些误差，，，，，但AMD尚未宣布微代码更新，，，，，并称这些攻击并不是新的基于推测的攻击。。。。。

原文链接：

https://www.zdnet.com/article/amd-processors-from-2011-to-2019-vulnerable-to-two-new-attacks/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

信息清静周报-2020年第11周

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线