官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
根据国家信息安全漏洞库(CNNVD)统计,本周(2020.11.30-2020.12.06)CNNVD接报漏洞8487个,其中信息技术产品漏洞(通用型漏洞)192个,华云安报送3个;网络信息系统漏洞(事件型漏洞)8295个。(数据来源于CNNVD)
本周重点关注漏洞包括VMWare SD-WAN哈希传递漏洞、Docker 容器逃逸漏洞、Mozilla Firefox安全漏洞、Apache Tomcat HTTP / 2请求标头混淆漏洞、Python pip安全漏洞、Apache HTTP Server缓冲区错误漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
VMWare SD-WAN哈希传递漏洞
发布时间:2020年12月1日
2020年11月18日,VMWare发布了VMSA-2020-0025的风险通告。该风险通告涉及多个漏洞。VMware SD-WAN by VeloCloud是VMWare为企业提供的软件定义的广域网。通过在物理广域网上叠加一层完全基于软件的虚拟广域网,用软件优化技术来提高虚拟广域网的数据传输效率,保证广域网的整体性能。近日关于其中两个严重漏洞的POC在互联网上公开。
情报来源:
https://www.vmware.com/security/advisories/VMSA-2020-0025.html
Docker 容器逃逸漏洞
发布时间:2020年11月30日
2020年11月30日,Containerd官方发布安全更新,修复了Docker 容器逃逸漏洞。Containerd是一个控制runC的守护进程,提供命令行客户端和API,用于在一个机器上管理容器。攻击者在一定条件下可通过访问containerd-shim API,从而实现Docker容器逃逸。
情报来源:
https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4
Mozilla Firefox 安全漏洞
发布时间:2020年12月3日
FireFox存在安全漏洞,Mozilla Firefox是Mozilla基金会的一款开源Web浏览器。该漏洞源于当在未知的交叉原点图像上绘制透明图像时,Skia库的drawImage函数会根据底层图像的内容花费可变的时间。这导致了通过定时侧通道攻击可能暴露图像内容的交叉源信息。
情报来源:
https://vigilance.fr/vulnerability/Firefox-Thunderbird-multiple-vulnerabilities-33912
Apache Tomcat HTTP / 2请求标头混淆漏洞
发布时间:2020年12月4日
Tomcat官方发布安全公告,Apache Tomcat的众多版本中存在安全漏洞。该漏洞会导致在一个HTTP/2的连接过程中,相连的后续请求中,可重新使用来自上一个HTTP请求头中的值。这可能会导致错误并关闭HTTP/2连接,会在请求之间造成信息泄漏。
情报来源:
http://tomcat.apache.org/security-10.html
Python pip安全漏洞
发布时间:2020年12月4日
Python是Python软件基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。Python pip 19.2之前版本中存在安全漏洞。攻击者借助该漏洞可以进行目录遍历。
情报来源:
https://github.com/pypa/pip/issues/6413
Apache HTTP Server缓冲区错误漏洞
发布时间:2020年12月4日
Apache HTTP Server的众多版本被曝出mod_uwsgi模块存在缓冲区错误漏洞。Apache HTTP Server是Apache Software基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。攻击者可利用该漏洞获取信息并可能执行代码。
情报来源:
http://httpd.apache.org/security/vulnerabilities_24.html
华云安与您一起,时刻关注安全威胁。
华云安
华云安是一家面向网络空间安全领域,专注于漏洞研究、攻防对抗、产品研发、安全服务的高新技术企业。华云安拥有灵洞威胁与漏洞管理系统、灵刃智能化渗透攻防系统等网络安全产品及服务,为政府、金融、能源、教育、医疗等行业,提供集网络安全情报采集分析能力、关键信息基础设施防御能力、网络安全反制能力于一体的新一代自适应网络安全漏洞管理解决方案。华云安致力于为新形势下的网络安全和关键信息基础设施保护作出自身的贡献!