安全漏洞预警

    高危漏洞预警

    禅道<=12.4.2文件上传漏洞

    漏洞描述

    百度云安全团队监测到禅道官方发布了文件上传漏洞的风险通告,该漏洞编号为 CNVD-C-2020-121325 ,登陆后台的恶意攻击者可以通过 fopen/fread/fwrite方法读取或上传任意文件,成功利用漏洞可以读取目标系统敏感文件以及获得系统管理权限。

    漏洞风险

    高危

    影响版本

    小于等于12.4.2

    修复建议

    升级到 12.4.3 版本,下载链接为: https://www.zentao.net/download/zentaopms12.4.3-80272.html

    WebLogic远程代码执行漏洞(CVE-2020-14841)

    漏洞描述

    百度云安全团队监测到Oracle官方发布了2020年10月的关键补丁更新,修复了多个严重的漏洞:

    • CVE-2020-14841:WebLogic IIOP JNDI注入漏洞
    • CVE-2020-14825:t3反序列化远程代码执行漏洞,绕过CVE-2020-14645
    • CVE-2020-14882:WebLogic Console后台登录绕过验证
    • CVE-2020-14883:Handle参数反序列化代码执行漏洞

    远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下控制 WebLogic Server ,并在 WebLogic Server 执行任意代码。

    漏洞风险

    高危

    修复建议

    通用修补建议:

    及时更新补丁,参考Oracle官方发布的补丁:

    https://www.oracle.com/security-alerts/cpuoct2020traditional.html

    Weblogic 临时修补建议:

    如果不依赖 T3 协议进行 JVM 通信,可通过阻断T3来缓解漏洞的威胁:

    1)、进入 WebLogic 控制台,在 base_domain 配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器;
    2)、在连接筛选器中输入: weblogic.security.net.ConnectionFilterImpl ,在连接筛选器规则框中输入:* * 7001 deny t3 t3s ,保存生效;
    3)、重启Weblogic项目,使配置生效。

    如果不依赖 IIOP 协议进行通信,禁止启用IIOP 协议:

    1)、进入 WebLogic 控制台,在 base_domain 配置页面中,进入安全选项卡页面;
    2)、选择 “服务”->”AdminServer”->”协议” ,取消 “启用IIOP”的勾选;
    3)、重启Weblogic项目,使配置生效。

    相关链接

    https://www.oracle.com/security-alerts/cpuoct2020.html

    Apache Kylin API未授权访问漏洞CVE-2020-13937

    漏洞描述

    Apache Kylin是一个开源的、分布式的分析型数据仓库,主要提供大数据时代的OLAP(在线分析处理)功能。近日,百度云安全团队监测到Apache Kylin官方修复了CVE-2020-13937 API未授权访问漏洞。Apache Kylin一个静态的API未进行任何的权限控制,攻击者通过访问该API可以到获取Apache Kylin的相关配置信息,可能导致身份凭据等信息泄漏。

    漏洞风险

    高危

    影响版本

    2.0.0-2.6.6
    小于等于3.1.0
    4.0.0-alpha

    修复建议

    安全建议:
    1、升级到最新的3.1.1版本。

    临时缓解措施:

    1、编辑$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml文件;
    2、删除如下内容:
    <scr:intercept-url pattern="/api/admin/config" access ="permitAll"/>
    3、重新启动所有的Kylin实例使其生效。

    相关链接

    https://lists.apache.org/thread.html/rc592e0dcee5a2615f1d9522af30ef1822c1f863d5e05e7da9d1e57f4%40%3Cuser.kylin.apache.org%3E

    Windows TCP/IP远程代码执行漏洞CVE-2020-16898

    漏洞描述

    2020年10月14日,百度云安全团队监测到微软发布了针对TCP/IP远程代码执行漏洞(CVE-2020-16898)的安全更新,由于Windows TCP/IP堆栈不正确地处理ICMPv6路由器播发数据包,导致了漏洞的产生。攻击者通过构造并发送特制的恶意ICMPv6路由器广告数据包到远程Windows计算机,从而可以获得在目标服务器或客户端上执行代码的能力。

    漏洞风险

    高危

    影响版本

    2019
    version 1903
    version 1909
    version 2004

    修复建议

    安全建议:
    百度云安全建议受影响用户尽快安装针对此漏洞的更新补丁,下载地址如下:
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

    以下临时缓解措施可能会在有所帮助,强烈建议受影响用户立即安装针对此漏洞的更新,即使使用临时缓解措施,也应尽快安装补丁:

    使用PowerShell命令禁用ICMPv6 RDNSS,以防止攻击者利用此漏洞,此解决方法仅适用于Windows 1709及更高版本,命令如下: netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

    注意:进行更改后,无需重新启动。

    可以使用以下PowerShell命令禁用上述临时缓解措施: netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable

    相关链接

    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

    Apache Solr ConfigSet文件上传漏洞CVE-2020-13957

    漏洞描述

    近日,百度云安全团队监测到Apache Solr发布了安全更新,其中修复了Apache Solr ConfigSet的文件上传漏洞。攻击者通过未授权访问的API,上传恶意文件,可以进行远程代码执行来获取服务器的权限。

    漏洞风险

    高危

    影响版本

    6.6.0-6.6.5
    7.0.0-7.7.3
    8.0.0-8.6.2

    修复建议

    以下任何一项足以阻止该漏洞的利用:
    1、如果未在系统属性中设置configset.upload.enabled的值为false,可以在ConfigSet API中禁用UPLOAD命令;
    https://lucene.apache.org/solr/guide/8_6/configsets-api.html

    2、使用身份验证和授权,并确保不允许未知请求;
    https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html

    3、升级到Solr 8.6.3或更高版本;

    4、通过防火墙策略,仅允许受信任的计算机和人员访问Solr API(包括Solr管理界面)。

    Linux内核权限提升漏洞(CVE-2020-14386)

    漏洞描述

    近日,百度云安全团队监测发现Linux发行版存在一个权限提升漏洞(CVE-2020-14386), 该漏洞出现在net/packet/af_packet.c中,在处理AF_PACKET时存在整数溢出,导致可以进行越界写来实现权限提升,攻击者可以利用此漏洞从非特权用户提升到root用户权限。

    漏洞风险

    高危

    影响版本

    4.6,5.9-rc4)

    修复建议

    受影响的发行版系统:
    1、Ubuntu 18.04及后续版本;
    2、Centos 8/RHEL 8;
    3、Debian 9/10;
    相关安全建议如下:
    1、升级内核至安全版本或应用修复补丁;
    内核下载地址:
    https://github.com/torvalds/linux/releases
    补丁地址:
    https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=acf69c946233259ab4d64f8869d4037a198c7f06
    2、关闭CAP_NET_RAW功能进行防护;

    相关链接

    https://unit42.paloaltonetworks.com/cve-2020-14386/

    WebSphere Application Server XXE漏洞CVE-2020-4643

    漏洞描述

    IBM官方发布通告修复了WebSphere Application Server中的一个XML外部实体注入(XXE)漏洞(CVE-2020-4643),由于WebSphere Application Server未正确处理XML数据,攻击者可以利用此漏洞远程获取服务器上的敏感信息。

    漏洞风险

    高危

    影响版本

    9.0.0.0-9.0.5.5
    8.5.0.0-8.5.5.17
    8.0.0.0-8.0.0.15
    7.0.0.0-7.0.0.45

    修复建议

    目前IBM官方已经发布了漏洞修复补丁,可以下载对应的修复补丁进行漏洞修复: 1、9.0.0.0 - 9.0.5.5版本用户,安装补丁PH27509;
    2、8.5.0.0 - 8.5.5.17版本用户,安装补丁PH27509;
    3、小于8.0.0.15版本用户需要升级到8.0.0.15 版本,并安装补丁PH27509;
    4、小于7.0.0.45版本的用户需要升级到7.0.0.45版本,并安装补丁PH27509。
    补丁下载地址:
    https://www.ibm.com/support/pages/node/6333617

    相关链接

    https://www.ibm.com/support/pages/security-bulletin-websphere-application-server-vulnerable-information-exposure-vulnerability-cve-2020-4643

    Qemu 虚拟机逃逸漏洞CVE-2020-14364

    漏洞描述

    2020年8月24日,百度云安全中心检测到,Qemu官方更新了安全补丁,修复了一处数组越界读写的漏洞,漏洞编号为 CVE-2020-14364,https://xenbits.xen.org/xsa/advisory-335.html

    百度云在2019年关注到此漏洞并提前进行全网修复,云上主机不受该漏洞影响,无需做任何操作。

    漏洞详情

    该漏洞在2019年的“天府杯”网络安全比赛初次披露,在2020年的第八届互联网安全大会上,该漏洞细节被公开,攻击者利用该漏洞可越界读写某一个堆之后 0xffffffff 的内容,实现虚拟化逃逸攻击,达到在宿主机中执行任意代码的目的,风险极高。

    修复建议

    百度云已经全部修复完成,云上主机无需任何操作。
    如果您有相关需求或反馈,请提交工单联系百度云。

    相关链接

    https://access.redhat.com/security/cve/cve-2020-14364

    通达OA 11.6存在未授权远程代码执行漏洞

    漏洞描述

    2020年8月,通达OA 11.6版本被爆出存在未授权RCE漏洞,并且POC已经被公布,经过百度云安全团队复现发现POC有效,攻击者可精心构造多个请求上传webshell,同时该漏洞利用会导致auth.inc.php文件被删除,危害较大,建议及时修复。

    漏洞风险

    高危

    影响版本

    11.6

    修复建议

    建议及时联系官方升级到通达OA最新版本

    相关链接

    https://www.seebug.org/vuldb/ssvid-98349

    Apache Struts2远程代码执行漏洞CVE-2019-0230

    漏洞描述

    2020年8月,Apache官方发布了Struts2远程代码执行漏洞的风险通告,该漏洞编号为CVE-2019-0230,Apache Struts2会对某些标签属性(id)的属性值进行二次表达式解析,并且在 Struts标签属性内强制进行OGNL表达式解析,因此在某些场景下将可能导致远程代码执行。

    漏洞风险

    高危

    影响版本

    2.0.0-2.5.20

    修复建议

    升级到Struts 2.5.22或更高版本。

    相关链接

    https://cwiki.apache.org/confluence/display/WW/S2-059

    Nexus Repository Manager 3.x 远程代码执行漏洞CVE-2020-15871

    漏洞描述

    Sonatype Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。近日Sonatype官方发布安全公告披露了在Nexus Repository Manager 3.x 版本中存在远程代码执行漏洞(CVE-2020-15871)。具有适当权限的登录用户可以利用漏洞执行任意代码,攻击者也可以诱使具有正确权限的用户执行任意代码。

    漏洞风险

    中危

    影响版本

    小于3.25.1

    修复建议

    建议将Nexus Repository Manager升级到3.25.1版或更高版本。可以从以下位置下载最新版本的Nexus Repository Manager 3: https://help.sonatype.com/repomanager3/download

    有关升级的详细信息,请参阅: https://support.sonatype.com/hc/zh-CN/articles/115000350007

    WebSphere反序列化远程代码执行漏洞CVE-2020-4450

    漏洞描述

    IBM WebSphere Application Server可以允许远程攻击者使用特制的序列化对象序列在系统上执行任意代码,利用此漏洞不需要身份验证。该特定缺陷存在于IIOP协议的处理中,由于缺乏对用户提供的数据的正确验证而导致的远程代码执行漏洞。

    漏洞风险

    高危

    影响版本

    9.0.0.0-9.0.5.4
    8.0.0.0-8.5.5.17

    修复建议

    WebSphere Application Server和WebSphere Application Server Hypervisor Edition,受影响的9.0.0.0至9.0.5.4版本,安全建议如下:
    1、根据临时修订要求升级到最低修订包级别,然后应用临时修订PH25074;
    https://www.ibm.com/support/pages/node/6220276

    2、或者应用修订包9.0.5.5或更高版本。

    对于V8.5.0.0至8.5.5.17的受影响版本,安全建议如下:

    1、根据临时修订要求升级到最低修订包级别,然后应用临时修订PH25074;
    https://www.ibm.com/support/pages/node/6220276

    2、或者应用修订包8.5.5.18或更高版本。

    可能有其他临时修订,这些临时修订可以从临时修订下载页面上进行下载。

    相关链接

    https://www.ibm.com/support/pages/security-bulletin-websphere-application-server-vulnerable-remote-code-execution-vulnerability-cve-2020-4450

    Windows DNS Server远程代码执行漏洞CVE-2020-1350

    漏洞描述

    微软发布了2020年7月的安全补丁,其中修复了一个Windows DNS服务器远程代码执行漏洞(CVE-2020-1350)。此漏洞已存在17年之久,CVSS评分为10。默认配置下,未经验证的攻击者可以向Windows DNS服务器发送恶意请求来利用此漏洞。另外,该漏洞被分类为“可蠕虫级”漏洞,危害较大建议及时修复。

    漏洞风险

    高危

    影响版本

    2008 for 32-bit Systems Service Pack 2
    2008 for 32-bit Systems Service Pack 2 (Server Core)
    2008 for x64-based Systems Service Pack 2
    2008 for x64-based Systems Service Pack 2 (Server Core)
    2008 R2 for x64-based Systems Service Pack 1
    2008 R2 for x64-based Systems Service Pack 1 (Server Core)
    2012 R2
    2012 R2 (Server Core)
    2016
    2016 (Server Core)
    2019
    2019 (Server Core)
    version 1903 (Server Core)
    version 1909 (Server Core)
    version 2004 (Server Core)

    修复建议

    目前微软官方已针对受支持的产品版本发布修复该漏洞的安全补丁,强烈建议受影响用户尽快安装补丁进行防护,下载链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

    Apache Spark Standalone模式远程代码执行漏洞CVE-2020-9480

    漏洞描述

    在Apache Spark 2.4.5和更早版本中,Standalone模式的Master可能配置为要求通过共享密钥进行身份验证(spark.authenticate),在启用共享密钥身份认证之后,即使没有密钥,也可以通过发送精心构造的RPC请求到Master服务器来在Spark集群启动应用程序资源,攻击者可以利用该漏洞在主机上执行任意命令。漏洞不会影响使用其他资源管理器的Spark集群,如YARN、Mesos模式等。

    漏洞风险

    高危

    影响版本

    小于等于2.4.5

    修复建议

    修复建议:
    更新Apache Spark到Spark 2.4.6或3.0.0版本; 有可能的情况下,通过ACL来设置只允许信任的主机访问Spark集群机器。

    相关链接

    https://spark.apache.org/security.html

    Apache Dubbo Provider反序列化远程代码执行漏洞CVE-2020-1948

    漏洞描述

    近日,百度云安全团队监测到Apache Dubbo项目团队发布了新的漏洞通告,漏洞编号CVE-2020-1948,漏洞影响使用2.7.6或更低版本的所有用户。攻击者通过发送带有无法识别的服务名称或方法名称以及某些恶意参数的RPC请求,可以远程在服务器上执行恶意代码。

    漏洞风险

    高危

    影响版本

    2.7.0-2.7.6
    2.6.0-2.6.7
    2.5.x

    修复建议

    升级到Apache Dubbo 2.7.7版本,下载地址: https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

    Kubeflow未授权访问漏洞

    漏洞描述

    Kubeflow是一个在Kubernetes上运行TensorFlow作业的开源项目,是Kubernetes中运行机器学习任务的流行框架。Kubeflow是一个容器化服务,各种任务在集群中作为容器运行。

    近日,Azure安全中心监控到有攻击者利用未授权访问的Kubernetes仪表盘进行恶意挖矿行为。用户可以通过Kubeflow的仪表盘UI界面来操作管理任务,如可以通过仪表盘在集群中部署容器。默认情况下,Kubeflow仪表板仅能通过位于群集边缘的Istio入口网关使用,只能在内部进行访问。但部分用户为了方面管理,将Istio服务的设置修改为Load-Balancer,从而导致Kubeflow仪表板可以通过互联网进行访问,因此存在未授权访问漏洞。攻击者利用漏洞可以部署恶意容器等,从而远程执行命令并控制服务器。

    漏洞风险

    高危

    影响版本

    ALL

    修复建议

    1. 确认Kubernetes集群中没有被部署恶意容器服务。可以通过以下命令进行检查: kubectl get pods –all-namespaces -o jsonpath=”{.items[*].spec.containers[*].image}” | grep -i ddsfdfsaadfs
    2. 确保Istio服务不是具有公网IP的Load-Balancer,即Kubeflow仪表盘不直接对公网开放。可以通过以下命令检查 kubectl get service istio-ingressgateway -n istio-system

    相关链接

    https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/?spm=a2c4g.11174386.n2.4.5c871051NpLUll

    WebSphere最新远程代码执行漏洞CVE-2020-4450

    漏洞描述

    近日,IBM官方发布了安全通告,修复了IBM WebSphere Application Server的远程代码执行漏洞。远程攻击者可以使用特制的序列化对象序列在系统上执行任意代码,漏洞影响WebSphere Application Server 9.0和WebSphere Application Server 8.5版本。

    漏洞风险

    高危

    影响版本

    9.0.0.0-9.0.5.4
    8.5.0.0-8.5.5.17

    修复建议

    目前官方已发布补丁修复了该漏洞,请受影响的用户尽快安装进行防护,相关方法如下:

    1、9.0.0.0-9.0.5.4版本的受影响用户,安装补丁PH25074,或者升级到9.0.5.5版本;

    2、8.5.0.0 - 8.5.5.17版本的受影响用户,安装补丁PH25074,或者升级到8.5.5.18版本。 补丁下载地址:https://www.ibm.com/support/pages/node/6220276

    相关链接

    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4450

    Fastjson<=1.2.68远程代码执行漏洞

    漏洞描述

    本周,Fastjson爆出新的远程代码执行漏洞,攻击者利用该漏洞最终可实现远程命令执行。此漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成漏洞的利用。

    漏洞风险

    高危

    影响版本

    小于等于1.2.68

    修复建议

    官方尚未发布修复版本,可以通过如下方式进行缓解:

    1、升级到1.2.68版本,该版本新增了safeMode的支持,safeMode打开之后,完全禁用autoType,无论白名单和黑名单,都不支持autoType。由于会完全禁用autoType,请在操作之前评估对业务的影响。配置方法参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
    2、关注官方的版本和补丁更新,及时为打上漏洞补丁或升级到1.2.69版本。

    相关链接

    https://github.com/alibaba/fastjson/releases

    SaltStack 存在认证绕过漏洞CVE-2020-11651

    漏洞描述

    ClearFuncs类处理未经身份验证的请求,并且无意中公开了_send_pub()方法,该方法可用于直接在master服务器上创建消息队列,此类消息可用于触发minions以root身份运行任意命令。ClearFuncs类还公开了_prep_auth_info()方法,该方法返回用于验证master服务器上本地root用户命令的“root key”。可以使用此“root key”在主服务器上远程调用管理命令。这种无意的暴露为远程未经身份验证的攻击者提供了与salt-master相同的根访问权限。因此未经身份验证的远程攻击者可以使用此漏洞执行任意命令。

    漏洞风险

    高危

    影响版本

    小于2019.2.4
    小于3000.2

    修复建议

    1. 及时升级到官方最新版本
    2. Master的配置文件中interface项绑定本机的内网IP
    3. 维护iptables规则,只允许指定的机器访问Master的4506端口

    相关链接

    https://mp.weixin.qq.com/s/pAYqSDYCszCRnu9ICYd8mg

    通达OA任意用户登录漏洞

    漏洞描述

    通达OA官方于4月17日发布安全更新,在此次安全更新中修复了包括任意用户登录在内的高危漏洞。未经身份授权的攻击者通过构造恶意请求,可以直接绕过登录验证逻辑,以系统管理员身份登录OA系统。

    漏洞风险

    高危

    影响版本

    小于11.5.200417

    修复建议

    通达OA官方已经发布相应漏洞补丁,请根据当前的版本选择对应的补丁进行安装,安装之前请先进行相关的数据代码备份。

    安全更新下载地址:https://www.tongda2000.com/download/sp2019.php#

    相关链接

    https://www.tongda2000.com/download/sp2019.php?spm=a2c4g.11174386.n2.3.79211051wO4JNd#OfficeAuto

    WebSphere 远程代码执行漏洞CVE-2020-4276

    漏洞描述

    WebSphere Application Server 是一款由IBM 公司开发的高性能的Java 中间件服务器,可用于构建、运行、集成、保护和管理部署的动态云和Web 应用。

    近日,IBM修复了两个位于WebSphere SOAP Connector服务中的远程代码执行漏洞,漏洞编号为CVE-2020-4276、CVE-2020-4362,当WebSphere Application Server的SOAP连接器管理请求中使用基于令牌的认证时,未经授权的远程攻击者可以构造恶意的认证请求,在目标服务器造成远程特权提升,并执行恶意代码,获取系统权限。

    漏洞风险

    高危

    影响版本

    9.0.0.0, 9.0.5.3
    8.5.0.0, 8.5.5.17
    8.0.0.0, 8.0.0.15
    7.0.0.0, 7.0.0.45

    修复建议

    各版本WebSphere Application Server升级至最新版,并安装相应的安全补丁PH21511 和 PH23853,具体的下载地址:
    https://www.ibm.com/support/pages/node/6118006
    https://www.ibm.com/support/pages/node/6174273
    具体的如下:
    WebSphere Application Server V9.0.0-V9.0.5.3: 更新安全补丁PH21511 及PH23853
    WebSphere Application Server V8.5.0.0-V8.5.5.17: 更新安全补丁PH21511 及PH23853
    WebSphere Application Server V8.0.0.0-V8.0.0.15: 升级到8.0.0.15 版本,然后更新安全补丁PH21511 及PH23853
    WebSphere Application Server V7.0.0.0-V7.0.0.45: 升级到7.0.0.45 版本,然后更新安全补丁PH21511 及PH23853

    可以通过运行IBM Installation Manager 进行更新,根据程序提示进行补丁下载、漏洞修复的工作。

    相关链接

    https://www.ibm.com/support/pages/node/6118222?spm=a2c4g.11174386.n2.4.35891051UyuJQ5

    通达OA未授权文件上传和文件包含漏洞

    漏洞描述

    近日通达OA被爆出存在未授权文件上传和文件包含漏洞,攻击者利用漏洞组合可以达到执行任意命令的目的,并进一步控制服务器。目前已有恶意的自动化攻击工具和勒索病毒对受影响的用户进行攻击,使用受影响版本的用户进行安装官方发布的补丁。

    漏洞风险

    高危

    影响版本

    2013
    2015
    2016
    2017
    V11

    修复建议

    安装官方发布的补丁: http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377

    Microsoft SMBv3远程代码命令执行漏洞CVE-2020-0796

    漏洞描述

    近日,Microsoft Server Message Block 3.1.1(SMBV3)协议被爆存在"蠕虫级"的远程代码执行漏洞。该漏洞是由于易受攻击的软件处理恶意制作的压缩数据包时发生的错误而引起的,未经身份验证的远程攻击者利用此漏洞可以在目标SMB服务器或SMB客户端上执行代码。

    漏洞风险

    高危

    影响版本

    windows 10 1903
    windows 10 1909
    windows server 1903
    windows server 1909

    修复建议

    官方尚未发布漏洞补丁,临时缓解措施:
    1、使用powershell禁用SMBv3压缩,命令如下:
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
    进行更改之后,不需要重启,该解决方案无法缓解针对SMB客户端的攻击。
    2、在企业外围防火墙处阻止针对TCP 445端口的访问。

    相关链接

    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005

    Spring Cloud Config路径遍历漏洞CVE-2020-5405

    漏洞描述

    2020年3月,国内安全研究人员发现了Spring Cloud Config组件存在的路径遍历漏洞,2.2.2之前的2.2.x版本,2.1.7之前的2.1.x版本以及较旧的版本允许攻击者利用此漏洞遍历目录,非法读取文件内容。

    漏洞风险

    中危

    影响版本

    2.2.0, 2.2.2)
    2.1.0, 2.1.7)

    修复建议

    官方已发布了最新版本,请管理员尽快升级。

    相关链接

    https://nosec.org/home/detail/4215.html

    Oracle Coherence&Weblogic反序列化远程代码执行漏洞CVE-2020-2555

    漏洞描述

    近日,Oracle Coherence 反序列化远程代码执行漏洞(CVE-2020-2555)的细节已被公开,Oracle Coherence为Oracle融合中间件中的产品,默认集成在了WebLogic 12c及以上版本中,因此该漏洞会影响WebLogic 12c及以上版本的Weblogic Server。

    漏洞风险

    高危

    影响版本

    12.1.3.0.0
    12.2.1.3.0
    12.2.1.4.0
    3.7.1.17

    修复建议

    1、安装升级补丁,参考oracle官网发布的补丁https://www.oracle.com/security-alerts/cpujan2020.html
    2、如果不依赖T3协议进行JVM通信,禁用T3协议,具体方法: 进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。
    在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入 7001 deny t3 t3s ,保存生效(需重启)

    相关链接

    https://www.thezdi.com/blog/2020/3/5/cve-2020-2555-rce-through-a-deserialization-bug-in-oracles-weblogic-server

    Microsoft Exchange Server远程代码执行漏洞CVE-2020-0688

    漏洞描述

    2020年2月,Miscrosoft Exchange Server被爆出存在远程代码执行漏洞,目前漏洞细节已经在互联网公开。漏洞成因主要是Exchange Control Panel(ECP)组件中使用了静态秘钥,经过身份验证的攻击者可以诱使服务器反序列化恶意制作的ViewState数据,从而导致了任意代码执行。

    漏洞风险

    高危

    影响版本

    Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
    Microsoft Exchange Server 2013 Cumulative Update 23
    Microsoft Exchange Server 2016 Cumulative Update 14
    Microsoft Exchange Server 2016 Cumulative Update 15
    Microsoft Exchange Server 2019 Cumulative Update 3
    Microsoft Exchange Server 2019 Cumulative Update 4

    修复建议

    请用户根据自身版本下载对应的补丁进行安装: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688

    相关链接

    https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys

    Jackson反序列化远程代码执行漏洞CVE-2020-8840

    漏洞描述

    jackson-databind是一套开源java高性能JSON处理器,受影响版本的jackson-databind中由于缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,可导致攻击者使用JNDI注入的方式实现远程代码执行.

    漏洞风险

    高危

    影响版本

    小于等于2.9.10.2

    修复建议

    针对使用到jackson-databind组件的web服务升级jackson相关组件至安全版本:https://repo1.maven.org/maven2/com/fasterxml/jackson/core/jackson-databind/2.8.11.5/
    安全版本包括2.8.11.5、2.9.10.3、2.10.0.x。

    相关链接

    https://github.com/FasterXML/jackson-databind/issues/2620?spm=a2c4g.11174386.n2.4.7c4610517opuDp

    Apache Tomcat AJP协议文件读取漏洞

    漏洞描述

    Apache Tomcat服务器多个版本存在文件包含漏洞,攻击者利用漏洞可以读取或包含Tomcat上所有webapp目录下的任意文件,如web源代码或webapp的配置文件。Tomcat默认配置了2个Connector,分别为8080端口的Http服务和8009端口的AJP相关服务,两个端口默认监听在外网IP,该漏洞产生在AJP协议相关方法类。

    漏洞风险

    高危

    影响版本

    6.x
    小于7.0.100
    小于8.5.51
    小于9.0.31

    修复建议

    官方已经发布了针对该漏洞的修复版本,具体的安全版本分别如下:
    1、Apache Tomcat 7.x升级到7.0.0100版本;
    2、Apache Tomcat 8.x升级到8.5.51版本;
    3、Apache Tomcat 9.x升级到9.0.31版本。

    也可以使用如下临时缓解方案:

    1、临时禁用AJP协议端口,可以在conf/server.xml配置文件中注释掉<Connector port="8009" protocol="AJP/1.3" ......> 相关内容;
    2、或者使用iptables禁止外网访问8009端口;
    3、在配置文件中的AJP相关配置中,更改secretRequired和secret属性的值来限制认证。secretRequired的值默认为true,当secretRequired为true时,AJP/1.3连接器将不会启动,除非将secret属性配置为非空或者非零长度的字符串。

    相关链接

    https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487

    Apache Dubbo反序列化远程代码执行漏洞CVE-2019-17564

    漏洞描述

    Apache Dubbo 支持多种协议,官方推荐使用 Dubbo协议,此漏洞是属于 Apache Dubbo HTTP 协议中的一个反序列化漏洞。当Apache Dubbo启用HTTP协议之后,Apache Dubbo在接受来自消费者的远程调用请求的时候存在一个不安全的反序列化行为,攻击者可以提交包含Java对象的POST请求,最终导致了远程任意代码执行。

    漏洞风险

    高危

    影响版本

    2.7.0-2.7.4
    2.6.0-2.6.7
    2.5.x

    修复建议

    1. 升级到2.7.5或者更高的版本;
    2. 禁用HTTP协议,删除类似配置:<dubbo:protocol name=“http” />

    相关链接

    https://www.mail-archive.com/dev@dubbo.apache.org/msg06226.html?spm=a2c4g.11174386.n2.3.335a1051L7yDwn

    FusionAuth远程命令执行漏洞CVE-2020-7799

    漏洞描述

    2019年1月28日,NVD发布了一个FusionAuth存在Apache Freemarker模板远程命令执行的漏洞,编号为CVE-2020-7799;在FusionAuth中经过身份验证的用户可以编辑电子邮件模板(Home->Settings->Email Templates)或主题(Home->Settings->Themes),从而通过处理自定义模板的Apache FreeMarker引擎中的freemarker.template.utility.Execute在底层操作系统上执行任意命令。

    漏洞风险

    高危

    影响版本

    小于等于1.10.0

    修复建议

    建议升级到官方最新版本1.14.0(https://fusionauth.io/docs/v1/tech/release-notes

    相关链接

    https://nvd.nist.gov/vuln/detail/CVE-2020-7799

    ThinkPHP6任意文件操作

    漏洞描述

    2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。

    漏洞风险

    高危

    影响版本

    6.0.0
    6.0.1

    修复建议

    1. 及时升级到ThinkPHP6.0.2版本
    2. 根据官方的补丁及时更新代码

    Weblogic T3协议远程代码执行漏洞CVE-2020-2546

    漏洞描述

    Weblogic是Oracle出品的用于构建和部署企业Java EE应用程序的中间件,被企业用户广泛应用于生产环境中。Weblogic T3是用于在WebLogic服务器和其他类型的Java程序之间传输信息的协议。近期爆出T3协议存在反序列化漏洞,攻击者能够利用该漏洞进行远程代码执行。

    漏洞风险

    高危

    影响版本

    10.3.6.0.0
    12.1.3.0.0

    修复建议

    升级补丁,参考oracle官网发布的补丁 如果不依赖T3协议进行JVM通信,禁用T3协议,具体的方法如下:
    1、登录Weblogic管理控制台;
    2、在base_domain配置页面中,进入安全选项卡页面;
    3、点击筛选器,进行筛选器配置;
    4、在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl;
    5、在连接筛选器规则中输入如下内容: 0.0.0.0/0 * deny t3 t3s

    Citrix两款产品远程代码执行漏洞CVE-2019-19781

    漏洞描述

    2019年12月,国外安全研究人员披露了思杰公司的两款产品Citrix ADC和NetScaler Gateway存在代码执行漏洞。而在2020年1月,该漏洞的一部分路径遍历利用方式的POC被公开,目录遍历被限制子在vpns文件夹下,任意用户可通过HTTP请求直接访问该目录下的文件。

    漏洞风险

    高危

    影响版本

    13.0
    12.1
    12.0
    11.1
    10.5

    修复建议

    参考官方的缓解措施https://support.citrix.com/article/CTX267679

    相关链接

    https://securityaffairs.co/wordpress/95548/hacking/cve-2019-19781citrix-flaw.html

    Mongo-express远程命令执行漏洞CVE-2019-10758

    漏洞描述

    Mongo-Express是使用Node.js、Express和Bootstrap3编写的一款基于MongoDB管理接口的开源图形化管理系统。小于0.54.0的版本中,经过认证后访问特定接口,通过构造恶意请求,攻击者可以执行任意命令。许多mongo-express服务由于部署不当,存在未授权访问漏洞,攻击者结合该命令执行漏洞可以直接获取服务器权限。

    漏洞风险

    高危

    影响版本

    小于0.54.0

    修复建议

    1、Mongo-express开启登录验证,并且设置复杂的密码;
    2、升级Mongo-express到0.54.0或更高的版本。

    相关链接

    https://github.com/masahiro331/CVE-2019-10758/?spm=a2c4g.11174386.n2.3.744e1051tnBw1K

    Apache Log4j 反序列化漏洞CVE-2019-17571

    漏洞描述

    Log4j 1.2.x版本中包含的SocketServer类存在反序列化漏洞,SocketServer类可以创建监听服务,接受客户端发送到指定端口号的日志事件。如果数据流量可被控制篡改,攻击者可利用该反序列化漏洞远程执行任意代码。

    漏洞风险

    低危

    影响版本

    小于等于1.2.27
    小于2.8.2

    修复建议

    1. Log4j 1.2.x版本已不再维护,建议用户升级Log4j至2.8.2安全版本:https://logging.apache.org/log4j/2.x/
    2. 未使用Log4j SocketServer类将不受此漏洞影响,建议自查并禁止使用该类创建监听服务。

    相关链接

    https://seclists.org/oss-sec/2019/q4/167

    Harbor多个高危漏洞预警CVE-2019-19029

    漏洞描述

    近日,开源镜像仓库Harbor发布了安全更新公告,修复了权限提升、CSRF、SQL注入等多个高危漏洞(CVE-2019-19025、CVE-2019-19026、CVE-2019-19029),影响的版本包括1.7.x、1.8.1、1.9.x。攻击者诱导经过身份验证的Harbor用户访问某些第三方网站,可以在用户不知情的情况执行任意操作。具有某些功能权限的用户可以利用SQL注入漏洞从数据库中获取敏感信息或进行权限提升。

    漏洞风险

    高危

    影响版本

    1.7.x
    (1.8.x-1.8.6)
    (1.9.x-1.9.3)

    修复建议

    针对上述漏洞,可以升级Harbor版本到如下安全版本:
    Harbor 1.8.x >= 1.8.6
    Harbor 1.9.x >= 1.9.3
    参考下载链接:
    https://github.com/goharbor/harbor/releases

    相关链接

    https://github.com/goharbor/harbor/security/advisories?spm=a2c4g.11174386.n2.4.7d241051LT0TG8

    Docker cp命令可导致容器逃逸攻击漏洞CVE-2019-14271

    漏洞描述

    当Docker宿主机使用cp命令时,会调用辅助进程docker-tar,该进程没有被容器化,且会在运行时动态加载一些libnss*.so库。攻击者可以通过在容器中替换libnss*.so等库,将代码注入到docker-tar中。当Docker用户尝试从容器中拷贝文件时将会执行恶意代码,成功实现Docker逃逸,获得宿主机权限。

    漏洞风险

    高危

    影响版本

    19.03.0

    修复建议

    1. 升级至安全版本
    2. 以非root用户权限运行容器,libnss_*.so库覆盖需要root权限,以非root用户权限运行容器可以阻止漏洞攻击。

    相关链接

    https://unit42.paloaltonetworks.com/docker-patched-the-most-severe-copy-vulnerability-to-date-with-cve-2019-14271/

    Apache Solr JMX服务未授权远程代码执行漏洞CVE-2019-12409

    漏洞描述

    Linux版的Solr部分版本的自带默认配置文件solr.in.sh中存在不安全的选项ENABLE_REMOTE_JMX_OPTS,其默认值为True。该配置将开启JMX监控服务,同时对外开启18983端口,且默认未开启认证。远程能够访问此端口的攻击者利用漏洞可以向受影响服务发起攻击,执行任意代码。

    漏洞风险

    高危

    影响版本

    8.1.1
    8.2.0

    修复建议

    1、设置配置文件solr.in.sh中的ENABLE_REMOTE_JMX_OPTS值为false,然后重启Solr;
    2、利用iptables、防火墙等限制可访问18983端口的ip地址。

    相关链接

    https://issues.apache.org/jira/browse/SOLR-13647

    Apache Shiro Padding Oracle漏洞可导致远程命令执行

    漏洞描述

    Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,存在Padding Oracle攻击漏洞,攻击者利用Padding Oracle攻击方法可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可导致远程命令执行获取服务器权限。

    漏洞风险

    高危

    影响版本

    小于1.4.2

    修复建议

    1.升级至安全版本,下载链接:https://github.com/apache/shiro/releases
    2.关闭rememberMe持久化登录功能。

    相关链接

    https://issues.apache.org/jira/browse/SHIRO-721

    漏洞描述

    Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。Apache Flink Dashboard默认没有权限设计,攻击者可通过未授权的Dashboard上传jar包,执行任意系统命令。

    漏洞风险

    高危

    影响版本

    小于等于1.9.1

    修复建议

    1. 禁止Apache Flink Dashboard端口对外暴露或者添加权限验证;
    2. 及时关注官网https://flink.apache.org/获取最新的信息。

    相关链接

    https://www.seebug.org/vuldb/ssvid-98101

    Squid缓冲区溢出漏洞CVE-2019-12526

    漏洞描述

    Squid是一个高性能的代理缓存服务器,支持FTP、gopher、HTTPS和HTTP协议。它可用于减少Web服务器上的带宽使用和需求,过滤网络流量,并通过本地缓存常用资源来加速Web访问。2019年11月5日,Squid官方公开了一个缓冲区溢出漏洞信息,远程攻击者可通过向目标服务器发送精心构造的HTTP请求利用此漏洞,可能导致远程代码执行。

    漏洞风险

    高危

    影响版本

    3.x, 3.5.28
    4.x, 4.8

    修复建议

    目前官方已在最新版本中修复了以上漏洞,请受影响的用户尽快升级到Squid 4.9,官方链接:http://www.squid-cache.org/Versions/

    相关链接

    http://www.squid-cache.org/Advisories/SQUID-2019_7.txt

    ThinkCMFX远程代码执行漏洞

    漏洞描述

    2019年10月,ThinkCMFX版本爆出远程代码执行漏洞,攻击者精心构造攻击代码可在未授权状态下执行任意代码。

    漏洞风险

    高危

    影响版本

    修复建议

    将HomebaseController.class.php和AdminbaseController.class.php类中display和fetch函数的修饰符改为protected。

    相关链接

    https://blog.riskivy.com/thinkcmf-框架上的任意内容包含漏洞

    Apache Solr VelocityResponseWriter插件远程代码执行漏洞

    漏洞描述

    近日,国外安全研究者公开了apache solr VelocityResponseWriter的远程代码执行漏洞,攻击者在solr未授权访问的情况下,可通过VelocityResponseWriter插件进行远程代码执行漏洞攻击。

    漏洞风险

    中危

    影响版本

    修复建议

    目前官方尚未公布补丁程序,建议缓解措施如下:
    1、为solr增加权限控制,禁止匿名用户进行管理的相关操作;
    2、增加waf等规则来阻断该漏洞的攻击利用。

    相关链接

    泛微e-cology OA信息泄漏漏洞

    漏洞描述

    攻击者通过漏洞页面可直接获取到数据库配置信息,如攻击者能够访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器。

    漏洞风险

    中危

    影响版本

    V8
    V9

    修复建议

    1、关注官方的漏洞修复信息,及时安装补丁:
    https://www.weaver.com.cn
    2、可对数据库进行限制,只允许白名单中的ip进行连接访问;
    3、系统的服务器、后台等相关密码禁止与数据库密码相同。

    相关链接

    PHP-FPM缺陷配置远程代码执行漏洞CVE-2019-11043

    漏洞描述

    在某些 nginx + php-fpm配置中,如果Nginx配置不当,会导致触发php-fpm的一个bug,外部攻击者利用漏洞可以进行任意代码执行。如果Web服务使用nginx + php-fpm,并且nginx存在类似下文中的配置,会收到此漏洞的影响。

    错误配置示例:

    location ~ [^/]\.php(/|$) {
      ...
      fastcgi_split_path_info ^(.+?\.php)(/.*)$;
      fastcgi_param PATH_INFO       $fastcgi_path_info;
      fastcgi_pass   php:9000;
      ...
    }

    漏洞风险

    高危

    影响版本

    nginx和php-fpm

    修复建议

    1、在nginx配置中,删除上文中的类似错误配置;
    2、修改nginx配置中fastcgi_split_path_info参数的正则表达式;
    3、打上官方发布的漏洞补丁:
    https://bugs.php.net/bug.php?id=78599

    相关链接

    https://www.cnvd.org.cn/flaw/show/CNVD-2019-36855

    泛微e-cology OA系统validate.jsp SQL注入漏洞

    漏洞描述

    泛微e-cology OA系统的validate.jsp文件中,由于对参数过滤不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。

    漏洞风险

    高危

    影响版本

    V8
    V9

    修复建议

    泛微官方已发布安全更新补丁,请及时下载更新。

    官方补丁下载地址:https://www.weaver.com.cn/cs/securityDownload.asp

    相关链接

    WebLogic 反序列化远程代码执行漏洞CVE-2019-2890

    漏洞描述

    Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使未经授权的攻击者则通过构造T3协议请求执行代码命令,从而控制Weblogic服务器。

    漏洞风险

    高危

    影响版本

    10.3.6.0
    12.1.3.0
    12.2.1.3

    修复建议

    1、升级打上漏洞补丁,相关链接如下:
    https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
    2、如果不依赖T3协议进行JVM通信,禁用T3协议,方法如下:
    进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器; 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s; 保存生效。

    相关链接

    https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

    泛微e-cology OA系统前台SQL注入漏洞

    漏洞描述

    泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。

    漏洞风险

    高危

    影响版本

    JSP版本

    修复建议

    目前泛微OA官方暂未发布补丁,请关注泛微官方以便及时取得安全升级方案。

    相关链接

    https://www.cnvd.org.cn/webinfo/show/5235?spm=a2c4g.11174386.n2.3.13eb1051OnOsIU

    禅道全版本远程代码执行漏洞

    漏洞描述

    2019年9月,禅道项目管理软件被爆出框架级漏洞,普通权限(用户组为1-10)的攻击者可通过module/api/control.php中getModel方法,越权调用module目录下所有的model模块和方法,从而实现SQL注入、任意文件读取、远程代码执行等攻击行为。

    漏洞风险

    高危

    影响版本

    小于等于11.6.3

    修复建议

    建议停用getModel方法,等待官方出最新的补丁

    相关链接

    http://foreversong.cn/archives/1410

    PhpStudy软件爆发后门事件

    漏洞描述

    2019年9月,国内知名PHP网站环境程序集成包“PhpStudy”遭黑客篡改,其Windows版本自带的php_xmlrpc.dll模块被植入后门。攻击者在请求中构造特定字符串,可实现远程命令执行,控制服务器。

    漏洞风险

    高危

    影响版本

    2016
    2018

    修复建议

    1. 用户通过搜索php_xmlrpc.dll模块中是否包含“eval”等关键字来定位是否存在后门,后门文件包括php\php-5.4.45\ext\php_xmlrpc.dll 和 php\php-5.2.17\ext\php_xmlrpc.dll 等。若存在请及时卸载后门程序并排查。
    2. 关注PhpStudy官方安全公告,尽量在官网进行下载和更新。

    相关链接

    https://www.freebuf.com/news/topnews/214912.html

    泛微e-cology OA 系统远程代码执行漏洞

    漏洞描述

    泛微e-cology OA系统自带的BeanShell组件存在未授权访问,攻击者调用BeanShell组件接口可直接在目标服务器上执行任意命令。

    漏洞风险

    高危

    影响版本

    未知

    修复建议

    官方已发布了BSH安全补丁包,下载地址: https://www.weaver.com.cn/cs/securityDownload.asp

    相关链接

    Nexus Repository Manager 2.x远程命令执行漏洞CVE-2019-5475

    漏洞描述

    Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。近日,官方发布了安全公告,低于2.14.14版本的Nexus Repository Manager中存在命令注入漏洞。具有管理访问权限的攻击者利用该漏洞可以在系统上执行任意命令,漏洞存在于创建或编辑Yum: Configuration capability的功能中。

    漏洞风险

    中危

    影响版本

    小于2.14.14

    修复建议

    升级到Nexus Repository Manager OSS/Pro 2.14.14或更高的版本。

    相关链接

    https://support.sonatype.com/hc/en-us/articles/360033490774-CVE-2019-5475-Nexus-Repository-Manager-2-OS-Command-Injection-2019-08-09

    FastJson拒绝服务攻击

    漏洞描述

    2019年9月5日,fastjson爆出远程拒绝服务漏洞。由于fastjson处理\x转义字符不当,攻击者构造特定的请求可导致服务器内存和CPU资源耗尽,严重的可能使业务直接瘫痪,建议广大用户对自身的业务/产品进行组件自查,确认fastjson版本至少升级到1.2.60。 影响版本:
    fastjson < 1.2.60

    漏洞风险

    高危

    影响版本

    小于1.2.60

    修复建议

    建议升级fastjson至安全版本: fastjson >= 1.2.60

    相关链接

    https://github.com/alibaba/fastjson/pull/2692?spm=a2c4g.11174386.n2.4.5f7f1051vxfjcK

    Pulse Secure SSL VPN任意文件读取CVE-2019-11510

    漏洞描述

    2019年8月,国外安全研究人员公布了针对Pulse Secure SSL VPN(保思安VPN)的多个漏洞说明,其中一个任意文件读取漏洞(CVE-2019-11510),可在未授权访问的情况下进行利用。

    该漏洞是由于所引入的一项通过浏览器访问其他端口的新功能缺乏安全限制所导致的,任意攻击者都可在未经身份验证的情况下利用该漏洞,读取系统敏感文件,获取session、明文密码等敏感信息,从而非法入侵并操控VPN,进一步威胁企业内网服务。

    目前官方已发布了安全更新,主要影响了Pulse Connect Secure的9.0RX、8.3RX和 8.2RX版本。

    漏洞风险

    高危

    影响版本

    8.2RX 8.3RX 9.0RX

    修复建议

    官网已发布安全更新,用户可以访问如下链接获取: https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101

    相关链接

    https://nosec.org/home/detail/2904.html

    Windows RDP蠕虫级远程代码执行漏洞CVE-2019-1181

    漏洞描述

    8月13日,微软发布针对远程桌面服务的漏洞修复补丁,其中包括2个关键的远程代码执行漏洞补丁,分别是CVE-2019-1181和CVE-2019-1182。与前不久修复的BlueKeep漏洞(CVE-2019-0708)一样,这两个漏洞也是可以进行蠕虫感染传播的,意味着任何利用这些漏洞的恶意程序在没有用户交互的情况下,可以从一台受影响的主机传播到其它易受攻击的计算机。

    漏洞风险

    高危

    影响版本

    Windows7 sp1
    Windows server 2008 R2 sp1
    Windows Server 2012
    Windows 8.1
    Windows Server 2012 R2
    Windows 10

    修复建议

    临时缓解措施:
    以下解决方法只能进行临时缓解,微软建议尽快安装此漏洞的补丁。
    1、Windows 7, Windows server 2008和Windows Server 2008 R2系统可以启用网络级别身份验证(NLA)。启用NLA之后,攻击者首先需要使用目标系统上的有效帐号对远程桌面服务进行身份验证,然后才能利用此漏洞;
    2、在企业外网防火墙处组织TCP端口3389的访问。

    官方公布的漏洞补丁下载地址:
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

    相关链接

    https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182

    Apache Solr远程代码执行漏洞CVE-2019-0193

    漏洞描述

    近日,Apache Solr官方发布了CVE-2019-0193的漏洞预警,该漏洞出现在Apache Solr的DataImportHandler模块中,小于8.2.0的Solr版本受到影响。

    DataImportHandler模块是一个可选但常用的模块,用于从数据库和其他源中提取数据到Solr服务器生成索引。其中所有的DIH配置都可以通过外部请求的dataConfig参数来设置。由于DIH配置可以包含脚本,因此攻击者可以通过构造危险的请求,实现远程代码执行攻击。

    漏洞风险

    高危

    影响版本

    小于8.2.0

    修复建议

    将Apache Solr升级至8.2.0或之后的版本

    临时缓解措施:
    编辑solrconfig.xml,将所有用固定值配置的DataImportHandler用法中的dataConfig参数设置为空字符串;
    确保网络设置只允许可信的流量与Solr进行通信,特别是与DIH请求处理程序的通信。

    相关链接

    https://issues.apache.org/jira/browse/SOLR-13669

    Linux kernel本地提权漏洞CVE-2019-13272

    漏洞描述

    Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。Linux kernel 5.1.17之前版本中存在安全漏洞,该漏洞源于kernel/ptrace.c文件的ptrace_link没有正确处理对凭证的记录,攻击者利用该漏洞可以将普通用户权限提权为root权限。
    该漏洞利用难度较低,受影响的详细系统版本如下:

    • Ubuntu 16.04.5 kernel 4.15.0-29-generic
    • Ubuntu 18.04.1 kernel 4.15.0-20-generic
    • Ubuntu 19.04 kernel 5.0.0-15-generic
    • Ubuntu Mate 18.04.2 kernel 4.18.0-15-generic
    • Linux Mint 19 kernel 4.15.0-20-generic
    • Xubuntu 16.04.4 kernel 4.13.0-36-generic
    • ElementaryOS 0.4.1 4.8.0-52-generic
    • Backbox 6 kernel 4.18.0-21-generic
    • Parrot OS 4.5.1 kernel 4.19.0-parrot1-13t-amd64
    • Kali kernel 4.19.0-kali5-amd64
    • Redcore 1806 (LXQT) kernel 4.16.16-redcore
    • MX 18.3 kernel 4.19.37-2~mx17+1
    • RHEL 8.0 kernel 4.18.0-80.el8.x86_64
    • Debian 9.4.0 kernel 4.9.0-6-amd64
    • Debian 10.0.0 kernel 4.19.0-5-amd64
    • Devuan 2.0.0 kernel 4.9.0-6-amd64
    • SparkyLinux 5.8 kernel 4.19.0-5-amd64
    • Fedora Workstation 30 kernel 5.0.9-301.fc30.x86_64
    • Manjaro 18.0.3 kernel 4.19.23-1-MANJARO
    • Mageia 6 kernel 4.9.35-desktop-1.mga6
    • Antergos 18.7 kernel 4.17.6-1-ARCH

    漏洞风险

    高危

    影响版本

    小于Linux kernel 5.1.17

    修复建议

    目前官方已经发布了漏洞修复补丁,请为受影响的系统打上漏洞补丁: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=6994eefb0053799d2e07cd140df6c2ea106c41ee

    相关链接

    http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201907-809

    Win32k组件本地权限提升漏洞CVE-2019-1132

    漏洞描述

    2019年6月,ESET研究人员向微软报告了一个Windows 0day漏洞,该漏洞利用过程的核心是win32k.sys模块中的NULL指针间接引用,成功利用此漏洞的攻击者可以在内核模式下运行任意代码,可以安装、查看、更改或删除数据,或者创建具有超级管理权限的新账户,达到权限提升的目的。

    漏洞风险

    高危

    影响版本

    Windows 7 for 32-bit Systems Service Pack 1
    Windows 7 for x64-based Systems Service Pack 1
    Windows Server 2008 for 32-bit Systems Service Pack 2
    Windows Server 2008 for Itanium-Based Systems Service Pack 2
    Windows Server 2008 for x64-based Systems Service Pack 2
    Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
    Windows Server 2008 R2 for x64-based Systems Service Pack 1

    修复建议

    微软官方针对此漏洞已经发布了漏洞补丁,具体的补丁地址:
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1132
    可通过安装对应的补丁来修复此漏洞。

    相关链接

    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1132

    Jackson反序列化远程代码执行漏洞CVE-2019-12384

    漏洞描述

    近日,安全研究人员披露Jackson < 2.9.9.1 存在反序列化远程代码执行漏洞(CVE-2019-12384),官方git已发布公告说明,请使用不安全版本Jackson的用户尽快升级。
    Jackson是一套开源java高性能JSON处理器,其在反序列化处理JSON格式时存在缺陷,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。

    漏洞风险

    高危

    影响版本

    小于2.9.9.1

    修复建议

    针对使用到jackson-databind组件的web服务升级jackson相关组件至2.9.9.1版本。

    相关链接

    https://github.com/FasterXML/jackson-databind/issues/2334

    WebSphere远程代码执行漏洞CVE-2019-4279

    漏洞描述

    5月16日,IBM官方针对WebSphere Application Server Network Deployment产品发布安全通告,通告指出该产品中存在远程代码执行漏洞,攻击者可发送精心构造的序列化对象到服务器,最终可在服务器上执行任意代码。

    漏洞风险

    高危

    影响版本

    v9.0.0.0 - v9.0.0.11
    v8.5.0.0 - v8.5.5.15
    v7.0

    修复建议

    IBM官方已经发布安全补丁,请访问以下连接,输入登录账号后进行补丁下载(注意:在打补丁之前请先关闭WebSphere服务,安装完成后再将服务开启。):

    受影响产品:WebSphere Application Server 8.5

    补丁下载链接:https://www-945.ibm.com/support/fixcentral/swg/doSelectFixes?options.selectedFixes=8.5.5.0-WS-WASND-IFPH11655&continue=1

    受影响产品:WebSphere Application Server 9.0

    补丁下载链接:https://www-945.ibm.com/support/fixcentral/swg/doSelectFixes?options.selectedFixes=9.0.0.0-WS-WASND-IFPH11655&continue=1

    受影响产品:WebSphere Virtual Enterprise 7.0

    补丁下载链接:https://www-945.ibm.com/support/fixcentral/swg/downloadFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/WebSphere+Virtual+Enterprise+for+WAS7&release=7.0.0.6&platform=All&function=fixId&fixids=7.0.0.6-WS-WVEWAS7-IFPH11655&includeRequisites=1&includeSupersedes=0&downloadMethod=http&login=true

    相关链接

    https://www-01.ibm.com/support/docview.wss?uid=ibm10883628&from=singlemessage&isappinstalled=0

    Jira服务端模版代码注入漏洞CVE-2019-11581

    漏洞描述

    近日,Atlassian 官方发布了针对Jira Server和Jira数据中心的漏洞公告,漏洞编号为CVE-2019-11581。Jira Server和数据中心,ContactAdministrators和SendBulkMail操作中存在服务器端模板代码注入漏洞,该漏洞的利用必须至少满足以下条件之一:

    1、已在Jira中配置SMTP服务器并启用了联系人管理员表单;
    2、已在Jira中配置SMTP服务器,并且攻击者具有“JIRA管理员”访问权限。

    在第一种情况下,攻击者无需身份验证即可利用此漏洞。在第二种情况下,具有“JIRA管理员”访问权限的攻击者可以利用此漏洞。在任何一种情况下,攻击者成功利用漏洞,可以在受影响版本的Jira Server或数据中心的系统上远程执行代码。

    漏洞风险

    高危

    影响版本

    4.4.x
    5.x.x
    6.x.x
    7.0.x
    7.1.x
    7.2.x
    7.3.x
    7.4.x
    7.5.x
    小于7.6.14
    7.7.x
    7.8.x
    7.9.x
    7.10.x
    7.11.x
    7.12.x
    小于7.13.5
    小于8.0.3
    小于8.1.2
    小于8.2.3

    修复建议

    官方发布了以下版本的Jira Server和Jira数据中心来解决此漏洞,请受影响的用户尽快升级:

    8.2.3版本下载地址
    https://www.atlassian.com/software/jira/download
    8.1.2版本下载地址
    https://www.atlassian.com/software/jira/update
    8.0.3版本下载地址
    https://www.atlassian.com/software/jira/update
    7.13.5版本下载地址
    https://www.atlassian.com/software/jira/update
    7.6.14版本下载地址
    https://www.atlassian.com/software/jira/update

    如无法立即升级,可以使用如下临时缓解方案:
    禁用联系人管理员表单,和禁止用户访问/secure/admin/SendBulkMail!default.jspa。

    请注意,禁止访问SendBulkMail会导致Jira管理员无法向用户批量发送电子邮件。升级Jira后,可以重新启用管理员联系表单,并允许用户访问SendBulkMail。

    相关链接

    https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html

    .NET Framework 远程执行代码漏洞CVE-2019-1113

    漏洞描述

    当软件无法检查文件的源标记时,.NET 软件中存在远程执行代码漏洞。 成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。如果当前用户使用管理用户权限登录,那么攻击者就可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。攻击者必须诱使用户使用 .NET 的受影响版本打开经特殊设计的文件,才能利用此漏洞。在电子邮件攻击情形中,攻击者可能通过向用户发送经特殊设计的文件并诱使用户打开该文件以利用此漏洞。

    漏洞风险

    高危

    影响版本

    Microsoft .NET Framework 2.0 SP2
    Microsoft .NET Framework 3.0 SP2
    Microsoft .NET Framework 3.5
    Microsoft .NET Framework 3.5.1
    Microsoft .NET Framework 4.5.2
    Microsoft .NET Framework 4.6
    Microsoft .NET Framework 4.6.1
    Microsoft .NET Framework 4.6.2
    Microsoft .NET Framework 4.7
    Microsoft .NET Framework 4.7.1
    Microsoft .NET Framework 4.7.2
    Microsoft .NET Framework 4.8
    Microsoft Visual Studio 2017 15.9
    Microsoft Visual Studio 2017
    Microsoft Visual Studio 2019 16.0
    Microsoft Visual Studio 2019 16.1

    修复建议

    安装官方发布的漏洞补丁,链接如下:https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1113

    相关链接

    https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1113

    fastjson < 1.2.51 远程代码执行漏洞

    漏洞描述

    fastjson爆出远程代码执行漏洞,官方已发布公告说明,小于1.2.51的版本是受到该漏洞影响,请使用到的用户尽快升级至安全版本。当攻击者提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行,从而获取服务器权限。

    漏洞风险

    高危

    影响版本

    小于1.2.51

    修复建议

    以下修复方案任选一种完成修复即可:
    一、升级至最新版本
    官方建议升级至1.2.58(虽然1.2.51版本中已修复此漏洞,但1.2.58修复了部分兼容性问题,故推荐升级至1.2.58)
    1、可使用Maven依赖配置更新

    <!-- 1.2.51包括所有的安全更新 -->  
    <dependency>  
        <groupId>com.alibaba</groupId>  
        <artifactId>fastjson</artifactId>  
        <version>1.2.51</version>  
    </dependency>  
     
    <!-- 1.2.58是最新的版本 -->
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>fastjson</artifactId>
       <version>1.2.58</version>
    </dependency>

    2、文件下载:
    1.2.51版本下载地址 http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.51/
    1.2.58版本下载地址 http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.58/

    二、安全补丁
    可根据业务所用版本,按照以下对照表升级到对应的sec04版本:

    1.1.15~1.1.31 -> 1.1.31.sec04
    1.1.32~1.1.33 -> 1.1.33.sec04
    1.1.34 -> 1.1.34.sec04
    1.1.35~1.1.46 -> 1.1.46.sec04
    1.2.0~1.2.2 -> 1.2.2.sec04
    1.2.3~1.2.7 -> 1.2.7.sec04
    1.2.8 -> 1.2.8.sec04
    1.2.9~1.2.24 -> 1.2.29.sec04

    Fastjson官方通告
    https://github.com/alibaba/fastjson/wiki/update_faq_20190722

    相关链接

    https://github.com/alibaba/fastjson/wiki/update_faq_20190722

    Kubernetes kubectl cp命令目录穿越漏洞CVE-2019-11246

    漏洞描述

    kubectl cp命令允许复制容器和用户计算机之间的文件,在通过tar解压时存在缺陷。当用户主动运行kubectl cp命令从container上复制tar文件并解压时可能导致用户计算机上的文件数据被覆盖或创建。

    漏洞风险

    高危

    影响版本

    v1.0.x-1.10.x
    v1.11.0-1.11.x
    v1.12.0-1.12.9
    v1.13.0-1.13.6
    v1.14.0-1.14.2

    修复建议

    升级Kubernetes到如下安全版本:
    Kubernetes v1.12.9
    Kubernetes v1.13.6
    Kubernetes v1.14.2
    Kubernetes v1.15.x

    相关链接

    https://groups.google.com/forum/m/#!topic/kubernetes-security-announce/NLs2TGbfPdo

    致远A8+协同管理软件Getshell漏洞(CNVD-2019-19299)

    漏洞描述

    近日,致远A8+协同管理软件被曝存在远程Getshell漏洞,在无需登录的情况下,可直接向被攻击服务器写入Webshell来获取服务器权限,致远OA用户需要尽快采取安全措施阻止漏洞攻击。

    漏洞风险

    高风险

    影响版本

    V6.1 SP2
    V7.0 SP3
    其它版本尚未确定是否存在此漏洞

    修复建议

    1、临时缓解措施
    部署于公网的致远A8+服务,可通过配置ACL禁止外网访问路径"/seeyon/htmlofficeservlet";

    2、官方补丁
    尽快联系官方,索要官方的补丁程序。

    相关链接

    https://www.cnvd.org.cn/flaw/show/CNVD-2019-19299

    Linux内核TCP SACK Panic远程拒绝服务漏洞

    漏洞描述

    Linux 内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷,攻击者可以构造特定的SACK包,远程触发Linux服务器内核模块溢出,导致系统奔溃或者无法提供服务,实现远程拒绝服务攻击。

    漏洞风险

    CVE-2019-11477 高危
    CVE-2019-11478 中危
    CVE-2019-11479 中危

    影响版本

    FreeBSD 12(使用到 RACK TCP 协议栈)
    CentOS 5(Redhat 官方已停止支持,不再提供补丁)
    CentOS 6
    CentOS 7
    Ubuntu 18.04 LTS
    Ubuntu 16.04 LTS
    Ubuntu 19.04
    Ubuntu 18.10

    安全版本

    各大Linux发行厂商已经发布了内核修复补丁,详细的内核修复版本如下:
    CentOS 6 :2.6.32-754.15.3
    CentOS 7 :3.10.0-957.21.3
    Ubuntu 18.04 LTS :4.15.0-52.56
    Ubuntu 16.04 LTS:4.4.0-151.178

    修复建议

    1. 禁用SACK机制功能,执行命令如下:
     echo 0 > /proc/sys/net/ipv4/tcp_sack
     sysctl -w net.ipv4.tcp_sack=0
    1. 升级Linux Server到上述的安全版本。

    注意:以上任意一种修复方式都有可能造成业务不可用。

    相关链接
    https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
    https://access.redhat.com/security/vulnerabilities/tcpsack

    Apache Axis远程命令执行漏洞预警

    漏洞描述

    近日,Apache Axis被曝出现新的远程命令执行漏洞,攻击者在未授权的情况下,可以发送精心构造的恶意HTTP-POST请求,通过远程执行命令获得目标服务器的权限。

    当Apache Axis允许远程管理,并使用了Freemarker插件的情况下,存在该漏洞。截止目前,无更多漏洞细节,官方尚未发布补丁。

    漏洞风险

    高风险

    影响版本

    Apache AXIS <=1.4

    修复建议

    1. 配置 URL 访问控制策略,部署于公网的 AXIS 服务器,可通过 ACL 禁止对/services/AdminService 及 /services/FreeMarkerService 路径的访问;
    2. 禁用 AXIS 远程管理功能,AXIS<=1.4 版本默认关闭了远程管理功能,如非必要请勿开启。若需关闭,则需修改 AXIS 目录下 WEB-INF 文件夹中的 server-config.wsdd 文件,将其中"enableRemoteAdmin"的值设置为 false。

    相关链接

    https://www.gdcert.com.cn/index/news_detail/W1BZRDEYCh0cDRkcGw

    Windows Server DHCP服务远程代码执行漏洞(CVE-2019-0725)

    漏洞描述

    2019年5月14日微软官方发布安全补丁,修复了Windows Server中DHCP服务远程代码执行漏洞。攻击者通过构造恶意数据包,在未授权的情况下,可以在目标系统上执行任意代码。

    漏洞风险

    高风险

    影响版本

    Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
    Windows Server 2008 R2 for x64-based Systems Service Pack 1
    Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation )
    Windows Server 2012
    Windows Server 2012 (Server Core installation)
    Windows Server 2012 R2
    Windows Server 2012 R2 (Server Core installation)
    Windows Server 2016
    Windows Server 2016 (Server Core installation)
    Windows Server 2019
    Windows Server 2019 (Server Core installation)
    Windows Server, version 1803 (Server Core Installation)
    Windows Server, version 1903 (Server Core installation)

    修复建议

    1、安装官方发布的漏洞补丁,链接如下: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0725

    2、限制只允许受信任的源访问受影响的系统,可以考虑使用基于IP的访问控制列表

    相关链接 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0725

    Windows RDP服务远程代码执行漏洞(CVE-2019-0708)

    漏洞描述

    2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。

    漏洞风险

    高风险

    影响版本

    Windows 7
    Windows Server 2008 R2
    Windows Server 2008
    Windows 2003
    Windows XP

    修复建议

    1、安装官方发布的漏洞补丁,链接如下:
    https://support.microsoft.com/zh-hk/help/4500705/customer-guidance-for-cve-2019-0708
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
    2、开启网络身份验证(NLA)进行临时的缓解。

    相关链接

    https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

    WebLogic wls9-async组件反序列化远程命令执行漏洞(CNVD-C-2019-48814)

    漏洞描述

    WebLogic部分版本中默认包含wls9_async_response、wls-wsat包,为WebLogic Server提供异步通讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。

    漏洞风险

    高风险

    影响版本

    Oracle WebLogic Server10.3.6.0.0
    Oracle WebLogic Server12.1.3.0.0
    Oracle WebLogic Server12.2.1.1.0
    Oracle WebLogic Server12.2.1.2.0

    修复建议

    1、如果明确不使用wls-wsat.war和bea_wls9_async_response.war,建议删除并重启WebLogic;
    2、或者通过访问策略控制禁止/_async/∗ 与 /wls-wsat/∗路径的URL访问。

    相关链接 http://www.cnvd.org.cn/webinfo/show/4989

    Atlassian Confluence路径穿越漏洞(CVE-2019-3398)

    漏洞描述

    Confluence Server 和 Confluence Data Center 在 downloadallattachments 资源中存在路径穿越漏洞,通过利用该漏洞,攻击者可完全控制 Confluence 服务器。成功利用该漏洞,需要攻击者拥有一个满足以下任一条件的 Confluence 账号:

    1. 在 Page 或 Blogs 具有添加附件权限的账号
    2. 具有创建新空间或个人空间权限的账号
    3. 对某空间具有“管理员”权限的账号

    攻击者通过使用该账号,可触发此路径穿越漏洞向 Confluence Server 写入任意文件,从而获得代码执行权限,从而控制受漏洞影响的 Confluence Server 或Confluence Data Center。

    漏洞风险

    高风险

    影响版本

    Confluence Server 和 Confluence Data Center
    2.0.0 <= version < 6.6.13
    6.7.0 <= version < 6.12.4
    6.13.0 <= version < 6.13.4
    6.14.0 <= version < 6.14.3
    6.15.0 <= version < 6.15.2

    修复建议

    官方已发布相关安全补丁,建议升级到以下最新版本:6.6.13、6.12.4、6.13.4、6.14.3、6.15.2

    相关链接
    https://confluence.atlassian.com/doc/confluence-security-advisory-2019-04-17-968660855.html

    Oracle Weblogic Server多个远程命令执行漏洞(CVE-2019-2658)

    漏洞描述

    北京时间2019年4月17日,Oracle公司发布了关键补丁更新公告(Oracle Critical Patch Update Advisory –April 2019),公告中发布了Oracle Weblogic Server的漏洞修复补丁,此次补丁修复了多个影响Oracle Weblogic Server的高危远程命令执行漏洞,包括CVE-2019-2645、CVE-2019-2646、CVE-2019-2658等。

    漏洞风险

    高风险

    影响版本

    Oracle Weblogic Server 10.3.6.0
    Oracle Weblogic Server 12.1.3.0
    Oracle Weblogic Server 12.3.1.3

    修复建议

    受影响的版本需要尽快更新官方发布的漏洞补丁,具体可参考相关链接。

    相关链接
    https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html#AppendixFMW

    Windows系统上Apache Tomcat远程代码执行(CVE-2019-0232)

    漏洞描述

    当运行在Windows系统并且enableCmdLineArguments参数被启用时,由于JRE将命令行传递给Windows的方式存在错误,CGI Servlet很容易受到远程代码执行漏洞攻击。默认情况下,Tomcat 9.0.x中禁用了enableCmdLineArguments的CGI选项,并且后续版本都会默认禁用这个选项以缓解此漏洞。

    漏洞风险

    高风险

    影响版本

    Apache Tomcat 9.0.0.M1 到 9.0.17
    Apache Tomcat 8.5.0 到 8.5.39
    Apache Tomcat 7.0.0 到 7.0.93

    修复建议

    受影响的用户应当使用下述缓解措施之一:
    1. 确保CGI Servlet初始化参数enableCmdLineArguments设置为false
    2. 升级到Apache Tomcat 9.0.18或更高版本
    3. 升级到Apache Tomcat 8.5.40或更高版本
    4. 升级到Apache Tomcat 7.0.94或更高版本

    相关链接
    https://markmail.org/message/2fblwm7tt75wn6ch?q=+list:org.apache.tomcat.announce&from=groupmessage

    Kubernetes API服务器patch请求远程拒绝服务漏洞(CVE-2019-1002100)

    漏洞描述

    有权向Kubernetes API服务器发出补丁(patch)请求的用户可以发送超长的特制“json-patch”补丁(例如kubectl patch --type json或“Content-Type: application/json-patch+json”),会导致Kubernetes API服务器CPU资源耗尽而拒绝服务。

    漏洞风险

    高风险

    影响版本

    以下Kubernetes版本的API server会受到该漏洞的影响:

    Kubernetes v1.0.x-1.10.x
    Kubernetes v1.11.0-1.11.7
    Kubernetes v1.12.0-1.12.5
    Kubernetes v1.13.0-1.13.3

    修复建议

    1、升级Kubernetes到修复后的安全版本:

    Kubernetes v1.11.8
    Kubernetes v1.12.6
    Kubernetes v1.13.4

    2、也可以通过删除不信任用户的“patch”权限来临时缓解。

    说明:新创建的CCE集群不受影响,历史集群用户若需要升级请发工单操作

    相关链接

    https://github.com/kubernetes/kubernetes/issues/74534

    Apache HTTP服务组件权限提升漏洞(CVE-2019-0211)

    漏洞描述

    在Apache HTTP Server 2.4.17到2.4.38版本中,不管是使用MPM event模型、Workder、还是prefork模式,在权限较低的子进程或线程中执行的代码(包括由进程内脚本解释器执行的脚本)可以通过操作记分板(mainpulating the scoreboard)的方式来以父进程的权限(通常是root权限)执行任意代码,非Unix系统不受影响。

    漏洞风险

    高风险

    影响版本

    Apache HTTP Server 2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、 2.4.29、2.4.28、2.4.27、2.4.26、 2.4.25、2.4.23、2.4.20、2.4.18、2.4.17

    修复建议

    1、Unix系统尽快更新Apache Http Server到2.4.39版本;

    2、自行编译的HTTP请通过源码更新的方式尽快修复。

    相关链接

    https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2019-0211

    Apache Tomcat HTTP/2远程拒绝服务漏洞(CVE-2019-0199)

    漏洞描述

    Apache Tomcat部分版本在实现HTTP/2时允许接受过多的SETTINGS帧流量,并且允许客户端在没有读写请求或响应数据的情况下可以长时间的保持连接。如果来自客户端的连接请求过多,最终可导致服务端线程耗尽而DoS。

    漏洞风险

    高风险

    影响版本

    9.0.0.M1 <Apache Tomcat< 9.0.14

    8.5.0 <Apache Tomcat< 8.5.37

    修复建议

    1、Apache Tomcat 9升级到安全版本9.0.16,下载地址如下:

    https://tomcat.apache.org/download-90.cgi

    2、Apache Tomcat 8升级到安全版本8.5.38,下载地址如下:

    https://tomcat.apache.org/download-80.cgi

    相关链接

    http://tomcat.apache.org/security-9.html

    Jenkins Script Security Plugin远程代码执行高危漏洞

    漏洞描述

    Jenkins官方发布安全公告披露多个安全漏洞,其中包含Script Security Plugin Sandbox再次被绕过,成功利用可实现远程代码执行漏洞。

    漏洞风险

    高风险

    影响版本

    Arxan MAM Publisher Plugin < 2.2
    Codebeamer Test Results Trend Updater Plugin < 1.1.4
    ECS publisher Plugin < 1.0.1
    Fortify on Demand Uploader Plugin < 3.0.11
    Lockable Resources Plugin < 2.5
    Pipeline: Groovy Plugin < 2.65
    PRQA Plugin < 3.1.2
    Script Security Plugin < 1.56
    Slack Notification Plugin < 2.20

    修复建议

    登陆jenkins插件管理后台/pluginManager/,检查插件安全升级并升级至最新版本

    注意:修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    Zimbra远程代码执行漏洞

    漏洞描述

    Zimbra Collaboration Server存在一系列漏洞,通过组合利用任意文件读取、XXE等漏洞可实现任意文件上传,进而远程执行任意代码

    漏洞风险

    高风险

    影响版本

    Zimbra Collaboration Server < 8.8.11

    修复建议

    升级至最新版本:https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories

    注意: 修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    AdobeColdFusion反序列化远程代码执行漏洞(CVE-2019-7091)

    漏洞描述

    Adobe ColdFusion的FlashGateway服务存在反序列化漏洞,未经身份验证的攻击者向目标Adobe ColdFusion的FlashGateway服务发送精心构造的恶意数据,经反序列化后可远程执行任意代码。

    漏洞风险

    高风险

    影响版本

    • ColdFusion 11 Update 15及之前版本
    • ColdFusion 2016 Update 7及之前版本
    • ColdFusion 2018 Update 1及之前版本

    修复建议

    修改gateway-config.xml文件的配置,禁止JavaBeanAdapter的使用

    升级最新补丁APSB19-10:https://helpx.adobe.com/security/products/coldfusion/apsb19-10.html

    注意: 修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    WordPress远程代码执行高危漏洞

    漏洞描述

    WordPress存在远程代码执行漏洞,只需要攻击者拥有Author发布文章权限就可在目标WordPress站点服务器执行任意PHP代码。

    漏洞风险

    高风险

    影响版本

    受影响插件:

    • WordPress 5.0.0
    • WordPress 4.9.8 及以前的版本

    漏洞修复方案

    升级至WordPress最新版本,下载链接

    注意:修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    Jenkins远程代码执行高危漏洞

    漏洞描述

    Jenkins多个插件中爆出远程代码执行高危漏洞。

    漏洞风险

    高风险

    影响版本

    受影响插件:

    • Declarative Plugin < 1.3.4.1
    • Groovy Plugin < 2.61.1
    • Script Security Plugin < 1.5.0

    漏洞修复方案

    升级至安全版本。

    参考链接

    https://jenkins.io/security/advisory/2019-02-19/
    https://jenkins.io/security/advisory/2019-01-28/
    https://jenkins.io/security/advisory/2019-01-16/
    https://jenkins.io/security/advisory/2019-01-08/

    注意:修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    Drupal远程代码执行漏洞

    漏洞描述

    Drupal在开启RESTful Web Services或JSON:API,且允许POST/PATCH请求时存在远程代码执行漏洞。

    漏洞风险

    高风险

    安全版本

    Drupal 8.6.10及以上

    Drupal 8.5.11及以上

    漏洞修复方案

    升级至安全版本。参考链接

    注意:修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    runc容器逃逸漏洞CVE-2019-5736

    漏洞描述

    runc是一个开源命令行工具,用于运行容器,目前docker引擎内部也是基于runc构建的。该漏洞允许攻击者通过特定的容器镜像或者执行docker exec覆盖宿主机上的runc二进制文件,从而允许攻击者在宿主机上以root权限执行任意命令。

    漏洞风险

    高风险

    漏洞影响

    • 影响百度智能云容器引擎CCE服务2019年2月15日之前创建的所有Kubernetes集群和节点
    • 影响用户自建的Docker/Kubernetes,影响范围:Docker版本<18.09.2或者使用runc版本<=1.0-rc6的环境

    漏洞修复方案

    • 针对使用CCE服务的场景,参考修复链接
    • 针对用户自建Docker/Kubernetes的场景:
    1. 升级已有集群的Docker到18.09.2,该方案会导致容器和业务中断。
    2. 单独升级runc。参考修复链接中单独升级runc部分

    参考链接

    https://www.openwall.com/lists/oss-security/2019/02/11/2

    Drupal远程代码执行高危漏洞

    漏洞描述

    Drupal在处理phar://URI时未做安全处理,导致攻击者构造特定的请求可导致远程代码执行。

    漏洞风险

    sa-core-2019-002 严重 sa-core-2019-001 严重

    漏洞影响

    • Drupal 8.6.x < 8.6.6
    • Drupal 8.5.x < 8.5.9
    • Drupal 7.x < 7.62

    安全版本

    • Drupal 8.6.6 及以上
    • Drupal 8.5.9 及以上
    • Drupal 7.62 及以上

    漏洞修复方案

    升级Drupal至安全版本。
    参考链接:https://www.drupal.org/security

    注意:修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    ThinkPHP<5.0.24远程代码执行高危漏洞

    漏洞描述

    由于ThinkPHP5框架对Request类的method处理存在缺陷,导致攻击者可构造特定请求,可直接GetWebShell。

    漏洞风险

    高风险

    漏洞影响

    • ThinkPHP 5.0系列 < 5.0.24

    安全版本

    • ThinkPHP 5.0系列 5.0.24
    • ThinkPHP 5.1系列 5.1.31

    漏洞修复方案

    升级ThinkPHP至安全版本。

    相关链接

    漏洞参考链接:https://blog.thinkphp.cn/910675

    注意:修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    ThinkPHP5远程代码执行高危漏洞

    漏洞描述

    ThinkPHP5框架对控制器名没有进行足够的检测,会导致在没有开启强制路由的情况下可getshell

    漏洞风险

    高风险

    漏洞影响

    • ThinkPHP 5.0系列 < 5.0.23
    • ThinkPHP 5.1系列 < 5.1.31

    安全版本

    • ThinkPHP 5.0系列 5.0.23
    • ThinkPHP 5.1系列 5.1.31

    漏洞修复方案

    升级ThinkPHP至安全版本5.0.23,请参考https://blog.thinkphp.cn/869075

    注意:修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    Jenkins 非预期方法调用代码执行漏洞(SECURITY-595)

    漏洞描述

    Jenkins是一款开源代码集成程序,攻击者通过访问精心构造的URL,可以调用到非预期范围内的方法,从而可能造成敏感信息泄露、越权操作、代码执行等危害。

    漏洞风险

    高风险

    漏洞影响

    • Jenkins weekly 2.153及之前版本
    • Jenkins LTS 2.138.3及之前版本

    安全版本

    • 更新Jenkins weekly到2.154版本
    • 更新Jenkins LTS到2.138.4版本或2.150.1版本

    漏洞修复方案

    请参照链接修复:https://jenkins.io/security/advisory/2018-12-05/

    注意:修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    Kubernetes API服务器远程特权提升漏洞(CVE-2018-1002105)

    漏洞描述

    Kubernetes在TCP连接复用实现上存在安全缺陷,恶意用户可以利用进行权限提升,进而利用Kubernetes API Server连接到后端服务并发送任意请求。

    漏洞风险

    高风险

    漏洞影响

    • Kubernetes v1.0.x-1.9.x
    • Kubernetes v1.10.0-1.10.10
    • Kubernetes v1.11.0-1.11.4
    • Kubernetes v1.12.0-1.12.2

    安全版本

    • Kubernetes v1.10.11
    • Kubernetes v1.11.5
    • Kubernetes v1.12.3
    • Kubernetes v1.13.0-rc.1

    漏洞修复方案

    用户自行搭建K8S集群可升级到安全版本,若无法升级到安全版本,可参照下述链接,自行打补丁修复,链接:https://github.com/kubernetes/kubernetes/commit/b84e3dd6f80af4016acfd891ef6cc50ce05d4b5b?diff=split

    说明:百度智能云CCE集群已全部完成补丁升级,不受漏洞影响。

    漏洞相关链接: https://github.com/kubernetes/kubernetes/issues/71411
    https://access.redhat.com/security/vulnerabilities/3716411

    Gogs和Gitea远程命令执行高危漏洞(CVE-2018-18925、CVE-2018-18926)

    漏洞描述

    Gogs和Gitea都是用于搭建Git服务的平台,在默认安装部署的情况下,由于Gogs和Gitea对用户会话管理存在漏洞导致攻击者可以将普通用户提升为管理员admin账户权限,并执行系统命令。

    漏洞风险
    高风险

    漏洞影响

    • Gogs目前master分支下的版本
    • Gitea1.5.3之前的版本

    漏洞修复方案

    Gogs用户:develop分支中已经更新漏洞修复代码,下载并安装。链接:https://github.com/gogs/gogs/tree/develop

    Gitea用户:下载并安装最新版本。链接:https://github.com/go-gitea/gitea/releases

    注意:修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    Gitlab Wiki API远程代码执行漏洞CVE-2018-18649

    漏洞描述

    Gitlab Wiki API是一组用于对Gitlab项目Wiki页面进行创建、编辑、列表、删除等功能的接口,Gitlab Wiki API在处理外部输入时存在过滤检查不当的问题,导致攻击者可以通过发送特定的请求数据包,在Gitlab服务端执行任意代码。

    漏洞风险

    高风险

    漏洞影响

    Gitlab CE/EE 11.3 及之后的版本

    漏洞修复方案

    • 方案一:

    升级Gitlab CE/EE至最新版本,官方升级链接:https://about.gitlab.com/update/

    • 方案二:

      1. 进入Gitlab实例的/admin/application_settings页面
      2. 在"Import sources"选项下取消"GitLab export"的选中复选框
      3. 点击Save保存

        注意:修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    Weblogic远程命令执行漏洞预警

    漏洞描述

    WebLogic T3协议反序列化漏洞再次补丁绕过,利用此漏洞,攻击者可以在未授权的情况下远程执行任意命令。

    漏洞风险

    高风险

    漏洞影响

    • WebLogic 10.3.6.0
    • WebLogic 12.1.3.0
    • WebLogic 12.2.1.2
    • WebLogic 12.2.1.3

    漏洞修复方案

    • 方案一: 此漏洞产生于WebLogic的T3服务,可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。

      1. 进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。
      2. 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s。
      3. 保存生效(无需重启)。
    • 方案二: 官方安全补丁:https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
      >注意:修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    IBM WebSphere Application Server远程代码执行漏洞 CVE-2018-1567

    漏洞描述

    WebSphere Application Server中存在远程代码执行漏洞,攻击者可以构造一个恶意的序列化对象,随后通过SOAP连接器来执行任意JAVA代码。

    漏洞风险 高风险

    漏洞影响

    • Version 9.0
    • Version 8.5
    • Version 8.0
    • Version 7.0

    漏洞修复方案

    官方已发布最新补丁,官方修复链接:https://www-01.ibm.com/support/docview.wss?uid=swg22016254

    注意:修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    ECShop远程代码执行漏洞

    漏洞描述

    ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。该漏洞产生的根本原因在于ECShop系统的user.php文件中,display函数的模板变量可控,导致注入,配合注入可达到远程代码执行的效果。使得攻击者无需登录等操作,直接可以获得服务器的权限。

    漏洞风险

    高风险

    漏洞影响

    • WebLogic 10.3.6.0
    • WebLogic 12.1.3.0
    • WebLogic 12.2.1.2
    • WebLogic 12.2.1.3

    漏洞修复方案

    在官方补丁没放出之前,我们建议站长可以修改include/lib_insert.php文件中相关漏洞的代码,将$arr[id]和$arr[num]强制将数据转换成整型,该方法可作为临时修复方案将入侵风险降到最低。

    注意:修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    Ghostscript远程命令执行漏洞

    漏洞描述

    Ghostscript是Adobe PostScript和PDF的解释语言,目前广泛应用在各类应用程序中(例如ImageMagick、Evince、GIMP、PDF阅读器等)。该漏洞导致所有引用Ghostscript的上游应用受到影响,如ImageMagick等。攻击者可利用恶意PostScript、PDF、EPS或XPS文件触发远程命令执行漏洞。

    漏洞风险

    高风险

    漏洞修复方案

    升级至最新版本:https://www.ghostscript.com/download.html

    1. 针对ImageMagick,可在policy.xml策略文件中禁用相关设置(可能造成功能不可用):

          <policymap>
          	<policy domain="coder" rights="none" pattern="PS" />
          	<policy domain="coder" rights="none" pattern="EPS" />
          	<policy domain="coder" rights="none" pattern="PDF" />
          	<policy domain="coder" rights="none" pattern="XPS" />
          </policymap>
    2. 卸载GhostScript,执行命令如下: Ubuntu: apt-get remove ghostscript Centos: yum remove ghostscript

      注意: 修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    Apache Structs2 S2-057远程代码执行漏洞

    漏洞描述

    两种情况会造成远程代码执行:

    1. 定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行。
    2. url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。

    漏洞风险

    高风险

    漏洞影响

    • Struts 2.3 – Struts 2.3.34
    • Struts 2.5 – Struts 2.5.16

    漏洞修复方案

    升级到Apache Struts版本2.3.35或2.5.17

    WebLogic T3协议反序列化漏洞

    漏洞描述

    WebLogic T3协议反序列化漏洞(CVE-2018-2893),通过该漏洞攻击者可以在未授权的情况下远程执行任意代码。

    漏洞风险

    高风险

    漏洞影响

    WebLogic 10.3.6.0 WebLogic 12.1.3.0 WebLogic 12.2.1.2 WebLogic 12.2.1.3

    漏洞修复方案

    • 方案一: 此漏洞产生于WebLogic的T3服务,可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。 1. 进入Weblogic控制台,在base_domain配置页面中,进入"安全"选项卡页面,点击"筛选器",配置筛选器。 2. 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s。 3. 保存生效(无需重启)。
    • 方案二: 官方补丁链接:http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

    WordPress任意文件删除漏洞公告

    漏洞描述:

    WordPress程序的unlink()函数在处理用户输入传入文件删除功能时(需要登录),未进行适当判断处理,导致任意文件删除。

    漏洞影响:

    WordPress <= 4.9.6

    漏洞修复方案:

    目前官方新发布的4.9.7版本中已修复该问题,请及时升级4.9.7版本

    注意:修复前请使用BCC快照功能进行备份。进行充分测试后进行修复。

    Memcached之UDP反射攻击漏洞预警

    漏洞描述:

    Memcached 反射攻击利用其认证和设计的缺陷,通过向Memcache服务器的11211端口发送特定的UDP数据包(该UDP数据包的IP地址为伪造的),致使Memcache服务器向伪造IP地址反射大量数据(该数据是原始数据的数倍,理论最高可达5万倍),可用于DDoS攻击。

    漏洞影响:

    对外开放UDP端口的Memcached服务;

    漏洞修复方案:

    • 禁止Memcached提供UDP服务;
    • 利用防火墙等设备,禁止UDP 11211端口对外开放;
    • 升级Memcached至最新版本,配置并启用SASL认证等权限控制策略;

    漏洞来源:

    http://powerofcommunity.net/poc2017/shengbao.pdf

    MySQL漏洞修复公告

    漏洞描述

    Oracle于2017年12月16日发布安全公告修复25个安全漏洞,其中:

    • CVE-2017-12617:攻击者利用该漏洞可接管MySQL Enterprise Monitor;
    • CVE-2018-2696:攻击者利用该漏洞可导致MySQL Server频繁崩溃导致拒绝服务攻击;
    • CVE-2018-2562:攻击者利用该漏洞可更新、删除、新增数据;

    其他漏洞请参考Oracle安全公告

    漏洞危害

    攻击者利用这些漏洞,可导致用户数据泄露、篡改,或使MySQL Server频繁崩溃导致拒绝服务攻击。

    漏洞影响

    • MySQL <= 5.6.38
    • MySQL <= 5.7.20

    漏洞修复方案

    • 更加MySQL到最新版本;
    • 安全加固:禁止数据库服务器3306对外开放等;

    漏洞来源

    http://www.oracle.com/technetwork/security-advisory/cpujan2018verbose-3236630.html?spm=5176.7765684.2.6.MeTnPs#MSQL

    关于Intel处理器存在芯片级安全漏洞的公告

    漏洞描述

    最近Google Project Zero和一些独立安全研究人员发现了CPU芯片硬件层面执行加速机制,也就是乱序执行(out-of-orderexecution)和推测执行(speculative execution),会引起CPU缓存的污染,从而攻击者可以发起基于cache的侧信道攻击偷取数据。目前主要涉及到两种攻击方法,分别为Meltdown 和Spectre。Spectre涉及CVE编号CVE-2017-5753和CVE-2017-5715,而Meltdown涉及CVE编号CVE-2017-5754。

    由于Meltdown和Spectre的攻击是针对CPU硬件的缺陷进行的攻击,因此它们的攻击范围特别广,存在于各种操作系统和云平台上,对业界产生巨大冲击。这一漏洞主要用于偷取隐私数据,包括口令、证书和其他保密数据,甚至完整的内存镜像。值得庆幸的是这些攻击不能修改数据

    Meltdown 和Spectre具体有三个变种:

    • 变种1(V1)Spectre:绕过边界检查(CVE-2017-5753)
    • 变种2(V2)Spectre:分支预测注入(CVE-2017-5715)
    • 变种3(V3)Meltdown:乱序执行的CPU缓存污染(CVE-2017-5754)

    漏洞危害

    此漏洞利用成功会导致低权限应用访问到任意内存区域,包括内核内存。内核内存可能存在敏感信息,导致信息泄露。百度安全团队对该漏洞的几种利用情况进行了分析:

    变种1 (V1) Spectre: 绕过边界检查 (CVE-2017-5753)

    1. 百度智能云虚拟化平台不受影响,攻击者无法通过该漏洞获取宿主机(虚拟机实际所在的物理机)数据;
    2. 客户虚拟机内核可能存在影响,依赖内核版本,低权限应用可能访问到部分内核数据,但应用难度比较高。

    变种2 (V2) Spectre: 分支预测注入 (CVE-2017-5715)

    1. 百度智能云虚拟化平台可能存在影响,攻击者可能通过该漏洞获取宿主机数据,但应用难度很高,获取敏感数据的可能性极低。考虑到修复过程中客户业务的稳定性,且截止目前暂未发现针对该漏洞的有效攻击行为,百度智能云已于1月12日凌晨开始通过热升级方式对虚拟化平台底层进行修复,修复过程中对客户业务没有影响,但是CPU涉及类型较多,预计19日24时全网发布完成。
    2. 客户虚拟机内核可能存在影响,依赖内核版本,低权限应用可能访问到部分内核数据,但应用难度比较高。

    (V3) Meltdown: 乱序执行的CPU缓存污染 (CVE-2017-5754)

    该风险较高,对百度智能云平台和客户虚拟机的影响如下:

    1. 百度智能云虚拟化平台不受影响,攻击者无法通过该漏洞获取宿主机数据。
    2. 客户虚拟机内核存在影响,低权限应用可能访问到内核数据,比如操作系统普通用户可以获取管理员数据,风险较高。

    漏洞缓解方案

    V2 (CVE-2017-5715) 修复建议:

    百度智能云已经于1月12日凌晨开始通过热升级方式对虚拟化平台底层进行修复,修复过程中对客户业务没有影响,预计19日24时全网发布完成。

    V1(CVE-2017-5753)及V3(CVE-2017-5754)修复建议:

    • 针对Windows操作系统,微软官方已经发布修复补丁。
    • 各Linux发行版厂商已经陆续发布响应补丁,百度智能云安全与操作系统团队第一时间针对各Linux操作系统补丁发布及修复情况进行了汇总整理,详细列表如下:
    发行版 版本 是否受影响 补丁状态 官方相关公告
    CentOS 6.X系列 CVE-2017-5753
    CVE-2017-5715
    CVE-2017-5754相关补丁发布
    https://access.redhat.com/errata/RHSA-2018:0008
    https://access.redhat.com/errata/RHSA-2018:0013
    CentOS 7.X系列 CVE-2017-5753
    CVE-2017-5715
    CVE-2017-5754相关补丁发布
    https://access.redhat.com/errata/RHSA-2018:0007
    https://access.redhat.com/errata/RHSA-2018:0012
    Debian 7(wheezy)
    8(jessie)
    9(stretch)
    CVE-2017-5754补丁发布 https://security-tracker.debian.org/tracker/source-package/linux

    百度智能云官网已经更新最新软件源,如果您需要进行补丁修复,操作建议如下:

    CentOS 6/7系列:

    1. yum clean all,更新软件源;
    2. yum update kernel ,更新当前内核版本;
    3. yum update microcode_ctl , 更新微代码包;
    4. reboot,必须重启系统才能生效;

    升级后相关版本如下:

    发行版本 Kernel(uname –r查询) microcode_ctl(rpm –qa microcode_ctl查询)
    CentOS 6 2.6.32-696.18.7 microcode_ctl-1.17-25.2.el6_9
    CentOS 7 3.10.0-693.11.6 microcode_ctl-2.1-22.2.el7

    Ubuntu 14.04/16.04 LTS系列

    1. apt-get update ,更新软件源;
    2. 系统更新:

      • Ubuntu 14.04 LTS系列选择安装:apt-get install linux-image-3.13.0-139-generic;
      • Ubuntu 16.04 LTS系列选择安装:apt-get install linux-image-4.4.0-109-generic;
    3. apt-get install intel-microcode,安装微码包;

      • 可利用如下命令查询版本:dpkg –l | grep intel-microcode
      • Ubuntu 14.04 LTS系列,则更新版本应为:3.20180108.0~ubuntu14.04.2;
      • Ubuntu 16.04 LTS系列,则更新版本应为:3.20180108.0~ubuntu16.04.2;
    4. reboot,必须重启系统才能生效;

    Debian系列

    1. apt-get update ,更新软件源;
    2. 系统更新操作:

      • Debian-9.1.0执行如下命令: apt-get install linux-image-4.9.0-5-amd64
      • Debian-8.1.0执行如下命令: apt-get install linux-image-3.16.0-5-amd64
      • Debian-7.5.0执行如下命令: apt-get install linux-image-3.2.0-5-amd64
    3. reboot,必须重启系统才能生效;

    注意:

    • 更新操作系统内核补丁前,建议用户开展操作系统的补丁更新评估,以保障修复的全面性;
    • 由于操作系统的内核补丁更新可能会造成一定程度的性能下降,而漏洞本身只能通过权限提升获取内核敏感信息,无法被直接远程利用,为确保业务的稳定性,请用户结合实际业务情况决定是否需要开展漏洞升级操作,若需修复,建议提前做好业务验证和备份工作。

    漏洞参考

    CVE-2017-10352 WebLogic WLS-WebServices组件反序列化漏洞

    漏洞描述

    WebLogic在部署过程中默认启用了WLS-WebServices组件,此组件使用了XMLDecoder来解析序列化数据,攻击者可以通过构造恶意的XML文件来实现远程命令执行。Oracle于2017年4月提供了该漏洞的补丁,但由于修复不彻底,在10月份再次提供了该漏洞的补丁。

    漏洞危害

    恶意攻击者利用该漏洞可以执行任意命令。近期,由于该漏洞POC已经公开且被大范围利用,建议尽快更新Oracle提供的10月补丁。

    漏洞影响

    • Oracle WebLogic Server 10.3.6.0.0
    • Oracle WebLogic Server 12.1.3.0.0
    • Oracle WebLogic Server 12.2.1.1.0
    • Oracle WebLogic Server 12.2.1.2.0

    漏洞缓解方案

    更新官方提供的10月份安全补丁;

    漏洞来源

    http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

    CVE-2017-12149 JBoss反序列化漏洞

    漏洞描述

    Red Hat于2017年08月30日公布了CVE-2017-12149:JBoss反序列化漏洞,影响范围为Red Hat JBoss EAP 5。近日,安全研究者发现Red Hat JBoss EAP 6也受该漏洞影响。

    该漏洞存在于HttpInvoker组件ReadOnlyAccessFilter类中,其doFilter方法对客户端提交classes数据没有安全检查,直接进行反序列化操作,可导致任意命令执行。

    漏洞危害

    目前,该漏洞POC已经公开。恶意攻击者利用该漏洞,可以执行任意命令。

    漏洞影响

    Platform Package State
    Rea Hat JBossEAP 7 jbossas NO Affected
    Rea Hat JBossEAP 6 jbossas Affected
    Rea Hat JBossEAP 5 jbossas Affected

    漏洞解决方案

    • 如果业务没有用到http-invoke组件,可以删除http-invoker.sar组件;
    • 在http-invoker.sar组件web.xml文件中,增加安全约束。例如:在security-constraint标签中,添加/*

    漏洞来源

    https://access.redhat.com/security/cve/cve-2017-12149

    WordPress WPDB SQL注入漏洞

    漏洞描述

    2017年10月31日WordPress发布4.8.3版本,在新版本中修复了一个SQL注入漏洞。该漏洞由于$wpdb->prepare()可以接受和执行不安全的查询,导致SQL注入。

    漏洞范围

    WordPress 4.8.3 之前版本

    漏洞修复方案

    • 升级到WordPress 4.8.3;
    • 增加WAF防护墙;

    漏洞来源

    https://wordpress.org/news/2017/10/wordpress-4-8-3-security-release/?spm=5176.bbsr565404.0.0.2xKxmZ
    https://blog.ircmaxell.com/2017/10/disclosure-wordpress-wpdb-sql-injection-technical.html

    Tyecho反序列化漏洞

    漏洞描述

    2017年10月25日国内博客软件Tyecho(一个开源、基于php的博客程序)被暴存在反序列化漏洞,该漏洞的POC已经公开。攻击者通过构造恶意请求包,利用install.php页面可实现任意代码执行。

    漏洞影响

    攻击者利用该漏洞实现任意代码执行,可获取WebShell。

    影响范围

    • Typecho 0.9之前版本

    漏洞修复方案

    • 及时同步官方最新补丁;
    • 删除install.php文件;

    漏洞来源

    http://p0sec.net/index.php/archives/114/

    Bad Rabbit勒索病毒

    病毒描述

    2017年10月24日,国外报道一种新的勒索病毒Bad Rabbit。该病毒与NotPetya病毒类似,加密计算机上文件、替换MBR(主引导记录)、重启系统、提示比特币支付解密,通过收集的用户信息和内置的弱口令遍历局域网内其他电脑,以达到传播的目的。该病毒伪装成Adobe Flash Player安装程序,安装运行后在系统目录下生成Infpub.dat文件,Infpub.dat文件再创建dispci.exe文件、cscc.dat文件,其中dispci.exe和cscc.dat用来加密硬盘和修改MBR。

    病毒影响

    该病毒通过Windows局域网共享协议传播。当局域网内有电脑中毒且开启了共享服务,该病毒通过读取中招电脑的用户信息、自带的弱口令,尝试遍历局域网内其他电脑,以达到传播目的。

    防范方案

    • 安装有效的杀掉软件,并更新系统补丁、病毒库;
    • 对于Windows服务器,做好文件备份、系统快照;
    • 杜绝安装非官网来源的软件;
    • 防范来源不明的文件、陌生人的邮件、挂马网站等;

    信息来源

    WordPress 4.8. 2新版本修复了若干漏洞

    漏洞描述

    2017年10月19日WordPress发布4.8.2版本并修复了4.8.1版本中若干漏洞,包括5个XSS漏洞,2个路径遍历漏洞,1个URL跳转漏洞,1个潜在SQL注入漏洞。

    漏洞影响

    • WordPress 4.8.1

    漏洞修复方案

    • 更新到WordPress 4.8.2;
    • 增加WAF防火墙;

    漏洞来源

    CVE-2017-11780 微软Windows SMB Server远程代码执行漏洞

    漏洞描述

    微软2017年10月已经修该漏洞,根据官方漏洞描述,攻击者利用该漏洞可在目标系统上执行任意代码,若攻击失败可导致拒绝服务,影响正常业务;

    漏洞影响

    • Microsoft Windows 10 Version 1607 for 32-bit Systems
    • Microsoft Windows 10 Version 1607 for x64-based Systems
    • Microsoft Windows 10 for 32-bit Systems
    • Microsoft Windows 10 for x64-based Systems
    • Microsoft Windows 10 version 1511 for 32-bit Systems
    • Microsoft Windows 10 version 1511 for x64-based Systems
    • Microsoft Windows 10 version 1703 for 32-bit Systems
    • Microsoft Windows 10 version 1703 for x64-based Systems
    • Microsoft Windows 7 for 32-bit Systems SP1
    • Microsoft Windows 7 for x64-based Systems SP1
    • Microsoft Windows 8.1 for 32-bit Systems
    • Microsoft Windows 8.1 for x64-based Systems
    • Microsoft Windows RT 8.1
    • Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
    • Microsoft Windows Server 2008 R2 for x64-based Systems SP1
    • Microsoft Windows Server 2008 for 32-bit Systems SP2
    • Microsoft Windows Server 2008 for Itanium-based Systems SP2
    • Microsoft Windows Server 2008 for x64-based Systems SP2
    • Microsoft Windows Server 2012
    • Microsoft Windows Server 2012 R2
    • Microsoft Windows Server 2016

    漏洞检测

    • 检测是否开启SMB Server服务;
    • 检测是否开放445、139端口;

    漏洞修复方案

    • 若无需要,关闭SMB Server服务;
    • 若需要使用SMB Server服务,严格控制外部访问139、445端口;
    • 尽快更新微软官方补丁;

    漏洞来源

    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11780?spm=5176.bbsr537827.0.0.fGNOXK

    CVE-2017-1000253 Linux PIE/stack内存破坏漏洞

    漏洞描述

    该漏洞于2015年4月发现并提交了补丁,但许多Linux发行版本并未更新该补丁。2017年9月26日OSS-SEC邮件组公布了该漏洞信息,CVE编号为CVE-2017-1000253。

    当编译Linux应用程序时使用了-pie选项,在该应用程序运行时,可从数据段映射部分数据到堆栈,从而导致堆栈破坏,增加本地提权的可能性。

    漏洞危害

    恶意攻击者利用该漏洞可进行本地提权;

    漏洞影响

    部分受影响版本:

    • CentOS 7:1708之前版本;
    • CentOS 6:全部版本;
    • Red Hat Enterprise Linux 7:7.4.0之前版本;
    • Red Hat Enterprise Linux 6/5:全部版本;

    已修复版本:

    • Linux Kernel 3.10.0-693 以及之后的版本;

    具体影响版本和已修复版本,参考各Linux发行版本的官网公告:

    漏洞修复方案

    • 各Linux发行版本:通过yum或apt-get更新补丁;
    • 自定义内核版本:手动打补丁;

    补丁地址:https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=a87938b2e246b81b4fb713edb371a9fa3c5c3c86

    漏洞来源

    https://www.qualys.com/2017/09/26/linux-pie-cve-2017-1000253/cve-2017-1000253.txt

    Discuz!X 任意文件删除漏洞

    漏洞描述

    2017年9月29日 Discuz!X社区软件被曝任意文件删除漏洞。早在2014年6月白帽子提交过类似的漏洞,但由于修复方案存在缺陷,存在绕过。

    漏洞危害

    恶意攻击者利用该漏洞可以删除任意文件。

    漏洞影响

    • Discuz! X3.3;
    • Discuz! X3.2;
    • Discuz! X3.1;
    • Discuz! X2.5;

    漏洞缓解方案

    修改upload/source/include/spacecp/spacecp_profile.php文件,删除和unlink相关代码。

    漏洞来源

    CVE-2017-12615

    漏洞描述

    Apache Tomcat于2017年09月19日发布漏洞修复公告:

    • CVE-2017-12615

    运行在Windows主机上Tomcat,如果开启了HTTP请求的PUT方法,利用精心构造的请求,可向服务器上传任意JSP文件;当该JSP文件被请求访问时,文件中代码将在服务器执行;

    • CVE-2017-12616:

    当Tomcat启用VirtualDirContext时,利用精心构造的请求,不但可以绕过安全相关的限制,还可以读取到由VirtualDirContext提供支持资源的JSP源代码;

    漏洞危害

    • CVE-2017-12615: 该漏洞可导致远程代码执行,进而获取服务器权限;
    • CVE-2017-12616: 该漏洞可导致JSP源代码泄露;

    漏洞影响

    • CVE-2017-12615: Apache Tomcat 7.0.0-7.0.79
    • CVE-2017-12616: Apache Tomcat 7.0.0-7.0.80

    修复方案

    建议升级Tomcat到7.0.81;

    漏洞来源

    https://tomcat.apache.org/security-7.html

    CVE-2017-8759 Office高危漏洞及微软9月最新漏洞补丁

    漏洞描述

    2017年9月12日 微软发布9月最新修复的漏洞,共包括81个漏洞,其中27个严重漏洞,52个高危漏洞,2个中危漏洞。

    最值得关注是CVE-2017-8759 Office高危漏洞,目前该漏洞已被外部利用。该漏洞利用.NET Framework中SOAP WSDL解析模块IsValidUrl函数处理换行符存在缺陷,导致其调用函数PrintClientProxy存在代码注入,最后可达到代码执行。

    严重漏洞列表

    • CVE-2017-8747 - Internet Explorer Memory Corruption Vulnerability
    • CVE-2017-8749 - Internet Explorer Memory Corruption Vulnerability
    • CVE-2017-8750 - Microsoft Browser Memory Corruption Vulnerability
    • CVE-2017-8731 - Microsoft Edge Memory Corruption Vulnerability
    • CVE-2017-8734 - Microsoft Edge Memory Corruption Vulnerability
    • CVE-2017-8751 - Microsoft Edge Memory Corruption Vulnerability
    • CVE-2017-8755 - Microsoft Edge Memory Corruption Vulnerability
    • CVE-2017-8756 - Microsoft Edge Memory Corruption Vulnerability
    • CVE-2017-11766 - Microsoft Edge Memory Corruption Vulnerability
    • CVE-2017-8757 - Microsoft Edge Remote Code Execution Vulnerability
    • CVE-2017-8696 - Microsoft Graphics Component Remote Code Execution
    • CVE-2017-8728 - Microsoft PDF Remote Code Execution Vulnerability
    • CVE-2017-8737 - Microsoft PDF Remote Code Execution Vulnerability
    • CVE-2017-0161 - NetBIOS Remote Code Execution Vulnerability
    • CVE-2017-8649 - Scripting Engine Memory Corruption Vulnerability
    • CVE-2017-8660 - Scripting Engine Memory Corruption Vulnerability
    • CVE-2017-8729 - Scripting Engine Memory Corruption Vulnerability
    • CVE-2017-8738 - Scripting Engine Memory Corruption Vulnerability
    • CVE-2017-8740 - Scripting Engine Memory Corruption Vulnerability
    • CVE-2017-8741 - Scripting Engine Memory Corruption Vulnerability
    • CVE-2017-8748 - Scripting Engine Memory Corruption Vulnerability
    • CVE-2017-8752 - Scripting Engine Memory Corruption Vulnerability
    • CVE-2017-8753 - Scripting Engine Memory Corruption Vulnerability
    • CVE-2017-11764 - Scripting Engine Memory Corruption Vulnerability
    • CVE-2017-8682 - Win32k Graphics Remote Code Execution Vulnerability
    • CVE-2017-8686 - Windows DHCP Server Remote Code Execution Vulnerability
    • CVE-2017-8676 - Windows GDI+ Information Disclosure Vulnerability

    高危漏洞列表

    • CVE-2017-8759 - .NET Framework Remote Code Execution Vulnerability
    • CVE-2017-9417 - Broadcom BCM43xx Remote Code Execution Vulnerability
    • CVE-2017-8746 - Device Guard Security Feature Bypass Vulnerability
    • CVE-2017-8695 - Graphics Component Information Disclosure Vulnerability
    • CVE-2017-8704 - Hyper-V Denial of Service Vulnerability
    • CVE-2017-8706 - Hyper-V Information Disclosure Vulnerability
    • CVE-2017-8707 - Hyper-V Information Disclosure Vulnerability
    • CVE-2017-8711 - Hyper-V Information Disclosure Vulnerability
    • CVE-2017-8712 - Hyper-V Information Disclosure Vulnerability
    • CVE-2017-8713 - Hyper-V Information Disclosure Vulnerability
    • CVE-2017-8733 - Internet Explorer Spoofing Vulnerability
    • CVE-2017-8628 - Microsoft Bluetooth Driver Spoofing Vulnerability
    • CVE-2017-8736 - Microsoft Browser Information Disclosure Vulnerability
    • CVE-2017-8597 - Microsoft Edge Information Disclosure Vulnerability
    • CVE-2017-8643 - Microsoft Edge Information Disclosure Vulnerability
    • CVE-2017-8648 - Microsoft Edge Information Disclosure Vulnerability
    • CVE-2017-8754 - Microsoft Edge Security Feature Bypass Vulnerability
    • CVE-2017-8724 - Microsoft Edge Spoofing Vulnerability
    • CVE-2017-8758 - Microsoft Exchange Cross-Site Scripting Vulnerability
    • CVE-2017-11761 - Microsoft Exchange Information Disclosure Vulnerability
    • CVE-2017-8630 - Microsoft Office Memory Corruption Vulnerability
    • CVE-2017-8631 - Microsoft Office Memory Corruption Vulnerability
    • CVE-2017-8632 - Microsoft Office Memory Corruption Vulnerability
    • CVE-2017-8744 - Microsoft Office Memory Corruption Vulnerability
    • CVE-2017-8725 - Microsoft Office Publisher Remote Code Execution
    • CVE-2017-8567 - Microsoft Office Remote Code Execution
    • CVE-2017-8745 - Microsoft SharePoint Cross Site Scripting Vulnerability
    • CVE-2017-8629 - Microsoft SharePoint XSS Vulnerability
    • CVE-2017-8742 - PowerPoint Remote Code Execution Vulnerability
    • CVE-2017-8743 - PowerPoint Remote Code Execution Vulnerability
    • CVE-2017-8714 - Remote Desktop Virtual Host Remote Code Execution Vulnerability
    • CVE-2017-8739 - Scripting Engine Information Disclosure Vulnerability
    • CVE-2017-8692 - Uniscribe Remote Code Execution Vulnerability
    • CVE-2017-8675 - Win32k Elevation of Privilege Vulnerability
    • CVE-2017-8720 - Win32k Elevation of Privilege Vulnerability
    • CVE-2017-8683 - Win32k Graphics Information Disclosure Vulnerability
    • CVE-2017-8677 - Win32k Information Disclosure Vulnerability
    • CVE-2017-8678 - Win32k Information Disclosure Vulnerability
    • CVE-2017-8680 - Win32k Information Disclosure Vulnerability
    • CVE-2017-8681 - Win32k Information Disclosure Vulnerability
    • CVE-2017-8687 - Win32k Information Disclosure Vulnerability
    • CVE-2017-8702 - Windows Elevation of Privilege Vulnerability
    • CVE-2017-8684 - Windows GDI+ Information Disclosure Vulnerability
    • CVE-2017-8685 - Windows GDI+ Information Disclosure Vulnerability
    • CVE-2017-8688 - Windows GDI+ Information Disclosure Vulnerability
    • CVE-2017-8710 - Windows Information Disclosure Vulnerability
    • CVE-2017-8679 - Windows Kernel Information Disclosure Vulnerability
    • CVE-2017-8708 - Windows Kernel Information Disclosure Vulnerability
    • CVE-2017-8709 - Windows Kernel Information Disclosure Vulnerability
    • CVE-2017-8719 - Windows Kernel Information Disclosure Vulnerability
    • CVE-2017-8716 - Windows Security Feature Bypass Vulnerability
    • CVE-2017-8699 - Windows Shell Remote Code Execution Vulnerability

    漏洞危害

    针对CVE-2017-8759漏洞,攻击者通过在Office文档中嵌入恶意代码,只要用户打开可达到恶意代码执行。

    漏洞影响

    针对CVE-2017-8759漏洞,影响的.NET Framework版本信息:

    • Microsoft .NET Framework 4.7
    • Microsoft .NET Framework 4.6.2
    • Microsoft .NET Framework 4.6.1
    • Microsoft .NET Framework 4.6
    • Microsoft .NET Framework 4.5.2
    • Microsoft .NET Framework 3.5.1
    • Microsoft .NET Framework 3.5
    • Microsoft .NET Framework 2.0 SP2 

    修复方案

    • 针对CVE-2017-8759漏洞,不要打开来路不明的Office文档;
    • 建议及时更新Windows漏洞补丁;

    漏洞来源

    http://blog.talosintelligence.com/2017/09/ms-tuesday.html

    CVE-2017-9805: Struts2 REST插件远程代码执行漏洞(S2-052)

    漏洞描述:

    2017年09月05日,Struts官方发布严重级别的安全漏洞:Struts2 REST插件远程代码执行漏洞。 Strut2 REST插件的XStream Handler在反序列化XStream实例时未进行安全检查,在处理恶意请求时可导致远程代码执行。

    漏洞危害:

    当启用Strut2 REST插件的XStream Handler反序列化XML请求时,攻击者通过发送精心构造的恶意数据包,可导致远程代码执行;

    漏洞影响:

    Struts 2.5-Struts 2.5.12

    解决方案:

    • 升级到最新版本:Apache Struts 2.5.13 或 Apache Struts 2.3.34
    • 如果业务没有使用Struts REST插件,建议删除或禁用该插件;
    • 如果业务需要使用Struts REST插件,修改配置struts.xml,限制应用仅处理xhtml和json格式文件:

    漏洞来源:

    https://cwiki.apache.org/confluence/display/WW/S2-052

    Discuz漏洞预警

    漏洞描述:

    2017年08月01日Discuz官网发布新版本X3.4并修复多个安全漏洞。根据分析报告显示主要修复了以下两个漏洞:

    (1)authkey存在爆破漏洞

    用户初次安装时系统自动生成authkey,并写入全局配置文件和数据,该authkey用于对cookie加密操作等。由于生成authkey的算法过于简单,存在爆破的风险。

    (2)任意代码执行漏洞

    管理员在后台修改数据库连接密码时,缺少对输入的安全检查,可导致任意代码执行。

    漏洞危害:

    • authkey存在爆破漏洞:可以导致用户cookie泄露;
    • 任意代码执行漏洞:可以GetShell,进而导致服务器沦陷;

    漏洞影响的版本:

    • Discuz_X3.3_SC_GBK
    • Discuz_X3.3_SC_UTF8
    • Discuz_X3.3_TC_BIG5
    • Discuz_X3.3_TC_UTF8
    • Discuz_X3.2_SC_GBK
    • Discuz_X3.2_SC_UTF8
    • Discuz_X3.2_TC_BIG5
    • Discuz_X3.2_TC_UTF8
    • Discuz_X2.5_SC_GBK
    • Discuz_X2.5_SC_UTF8
    • Discuz_X2.5_TC_BIG5
    • Discuz_X2.5_TC_UTF8

    解决方案:

    更新Discuz至以下版本:

    • Discuz_X3.4_SC_GBK
    • Discuz_X3.4_SC_UTF8
    • Discuz_X3.4_TC_BIG5
    • Discuz_X3.4_TC_UTF8

    漏洞来源:

    http://bobao.360.cn/learning/detail/4302.html

    知名终端程序XShell被黑客植入后门

    漏洞描述

    知名服务器终端管理软件Xshell在7月18日发布的5.0 Build 1322/1325官方版本被黑客植入后门,用户下载、更新到这一版本命中该问题。

    安装存在后门的Xshell,可能会将使用Xshell登录的服务器密码、私钥传输给黑客,为避免您在百度智能云上业务受影响,百度智能云安全团队提醒您及时关注并按照以下方式自查和处理:

    漏洞影响的版本

    Xmanager Enterprise 5.0 Build 1232

    Xmanager 5.0 Build 1045

    Xshell 5.0 Build 1322

    Xshell 5.0 Build 1325

    Xftp 5.0 Build 1218

    Xlpd 5.0 Build 1220

    自查方式:

    1. 使用防病毒软件查杀
    2. 检查是否在受影响版本范围内

    解决方案:

    • 升级到官方的最新版本
    • 更改Xshell保存的服务器密码、本地私钥

    参考链接

    https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html

    Apache Struts2 远程命令执行漏洞

    漏洞编号

    CVE-2017-9791

    漏洞描述

    2017年7月7日,Apache Struts发布最新的安全公告,漏洞编号为S2-048(CVE-2017-9791),当在Struts2和Struts1使用Showcase插件Action Message类时,可通过构建不可信的恶意输入实现远程命令攻击。

    漏洞危害:

    通过Showcase插件ActionMessage类,通过构建不可信的输入实现远程命令攻击;

    漏洞影响:

    Struts 2.3.x

    解决方案:

    • 关闭Showcase插件
    • 建议升级到最新版本2.5.10.1

    Drupal Core官方发布公告修复三个安全漏洞

    漏洞描述

    Drupal官方发布公告,修复了Drupal Core 7和8中存在的三个漏洞:

    CVE-2017-6920(高危):在Drupal某些功能中,PECL YAML存在不安全处理PHP对象,可致远程命令执行;

    CVE-2017-6921(低危):如果网站开启了REST模块并且允许PATCH请求,攻击者可以获取上传文件或修改文件的权限。

    CVE-2017-6922(中危):由匿名用户上传的私人文件,只允许上传者访问,而不是所有匿名用户。如果网站允许匿名用户上传的私人文件,Drupal并没有保护机制,该只允许上传者访问。

    漏洞影响

    利用CVE-2017-6920漏洞可致远程命令执行

    影响范围

    Drupal core 7:7.56之前版本,不包括7.56

    Drupal core 8:8.3.4之前版本,不包括8.3.4

    解决方法

    官方建议升级Drupal7和8到最新版本:

    Drupal core 7升级到:7.56版本

    Drupal core 8升级到:8.3.4版本

    漏洞来源

    https://www.drupal.org/SA-CORE-2017-003

    Windows Search和LNK远程代码执行漏洞

    漏洞编号:

    1. CVE-2017-8543: Windows Search远程代码执行漏洞
    2. CVE-2017-8464: Microsoft Windows LNK 远程代码执行漏洞

    漏洞类型

    远程代码执行

    漏洞描述和危害:

    6月13日,微软官方披露了两个远程代码执行漏洞(CVE-2017-8543)Windows Search远程代码执行漏洞和(CVE-2017-8464)LNK文件(快捷方式)远程代码执行漏洞,攻击者可向Windows Search服务发送精心构造的SMB消息或通过可移动驱动器或远程共享等方式将包含恶意LNK文件和与之相关的恶意二进制文件传播给用户诱导用户点击进行触发,利用成功后,可造成远程代码执行,控制目标主机。

    Windows Search远程代码执行漏洞:Windows搜索服务(WSS)是windows的一项默认启用的基本服务。允许用户在多个Windows服务和客户端之间进行搜索。当Windows搜索处理内存中的对象时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。

    Windows LNK文件(快捷方式)远程代码执行漏洞:Windows在处理LNK文件时存在一个远程代码执行漏洞,成功利用此漏洞可以获得与本地用户相同的权限。 如果用户打开攻击者精心构造的恶意LNK文件,则会造成远程代码执行。成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。

    漏洞影响范围:

    • Windows 10, 7, 8, 8.1, Vista和 RT 8.1版本;
    • Windows Server 2016,2012,2008版本;

    漏洞修复方案:

    Windows Server 2016,2012,2008,可以通过系统自带Windows Update自动更新功能进行补丁的更新修复,也可以通过如下微软官方链接进行手动更新:

    Windows 8, Vista, Xp和Windows Server 2003 等版本,可通过微软官方提供的旧平台公告链接选择对应版本然后手动更新补丁进行更新:

    https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

    漏洞参考

    1. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8464
    2. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543
    3. https://threatpost.com/microsoft-patches-two-critical-vulnerabilities-under-attack/126239/
    4. https://portal.msrc.microsoft.com/en-US/security-guidance

    samba高危漏洞预警

    漏洞编号:

    CVE-2017-7494

    漏洞类型:

    远程代码执行

    漏洞描述和危害:

    攻击者通过一个可写入的Samba用户权限,上传一个共享库文件,利用漏洞让samba以root权限加载并执行此库程序。

    漏洞影响范围:

    Samba 3.5.0 到 4.6.4/4.5.10/4.4.14 之间的所有版本

    漏洞修复方案:

    官方给出了2种修复方案:

    1. 升级samba到4.6.4/4.5.10/4.4.14版本,官网补丁地址:https://www.samba.org/samba/history/security.html
    2. 在smb.conf的[global]节点下添加nt pipe support = no 选项,再重启samba。

    Jenkins多个高危安全漏洞

    漏洞编号:

    CVE-2017-1000353、CVE-2017-1000354、CVE-2017-1000356

    漏洞描述和危害:

    2017年4月26日 Jenkins 发布漏洞公告:https://jenkins.io/security/advisory/2017-04-26/

    官方通告Jenkins存在多个漏洞,并在最新版中修复,其中高危以上漏洞如下:

    • CVE-2017-1000353(严重):可在未登陆状态下,利用java反序列化实现远程命令执行
    • CVE-2017-1000354(高危):利用login命令实现任意身份伪造,但需要一个普通用户权限
    • CVE-2017-1000356(高危):多个csrf漏洞

    其中CVE-2017-1000353利用成本极低,可造成非常严重的危害,黑客可直接在Jenkins服务器上执行任意命令,控制服务器,并可进一步控制slave节点。

    漏洞影响范围:

    • Jenkins 2.56 以及之前版本
    • Jenkins LTS 2.46.1 以及之前版本

    漏洞修复方案:

    升级Jenkins版本至最新版(Jenkins 2.57,Jenkins LTS 2.46.2)。如短时间内不能升级,可临时限制不允许公网访问,防止黑客扫描利用。

    Windows系统 SMB/RDP远程命令执行漏洞

    漏洞编号:

    暂无

    漏洞描述和危害:

    国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用程序,该工具包影响全球70%的Windows服务器,可以利用SMB、RDP服务成功入侵服务器或造成服务器出现蓝屏现象。

    漏洞影响范围:

    已知受影响的Windows版本包括但不限于:

    • Windows NT
    • Windows 2000
    • Windows XP
    • Windows 2003
    • Windows Vista
    • Windows 7
    • Windows 8
    • Windows 2008
    • Windows 2008 R2
    • Windows Server 2012 SP0

    漏洞修复方案:

    推荐及时更新windows官方补丁。

    如果您使用的是百度智能云提供的标准Windows镜像:

    1. 2017.4.27之前新装的Windows云服务器建议按下表更新Windows相关补丁。

      攻击程序名称 官方解决方案 百度智能云windows server 2008 R2镜像修复补丁包 百度智能云windows server 2012镜像修复补丁包
      “EternalBlue” Addressed by MS17-010 KB4012212 KB4012213
      “EternalChampion” Addressed by CVE-2017-0146 & CVE-2017-0147 KB4012212 KB4012213
      “ErraticGopher” Addressed prior to the release of Windows Vista 不受影响 不受影响
      “EsikmoRoll” Addressed by MS14-068 不受影响 不受影响
      “EternalRomance” Addressed by MS17-010 KB4012212 KB4012213
      “EducatedScholar” Addressed by MS09-050 不受影响 不受影响
      “EternalSynergy” Addressed by MS17-010 KB4012212 KB4012213
      “EclipsedWing” Addressed by MS08-067 不受影响 不受影响
    2. 2017.4.27以后新装的Windows云服务器已经默认安装上表中所有补丁,上述攻击程序均不受影响。

    Struts2基于Jakarta插件的远程代码执行漏洞

    漏洞编号:

    Struts2官方漏洞编号S2-045

    漏洞描述和危害:

    Struts2-045 基于Jakarta插件的Struts2远程代码执行漏洞。攻击者可在上传文件时修改HTTP头中的Content-Type为恶意内容,从而触发此漏洞,执行系统命令。

    官方相关链接:https://cwiki.apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0

    受影响版本:

    • Struts 2.3.5 - Struts 2.3.31
    • Struts 2.5 - Struts 2.5.10

    修复方案:

    升级Struts 到Struts 2.3.32 或 Struts 2.5.10.1版本

    WordPress REST API 内容注入漏洞

    漏洞编号:

    暂无

    漏洞描述和危害:

    WordPress REST API插件在4.7.0版本中被集成并默认开启,近日被发现其存在内容注入漏洞,即未授权用户可以修改任意文章、页面内容。WordPress官方在4.7.2版本中修复了此漏洞。

    漏洞详情可参考:https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

    受影响版本:

    WordPress 4.7.0-4.7.1

    修复方案:

    升级WordPress至4.7.2及以上版本

    Debian、ubuntu发行版的Nginx本地提权漏洞

    漏洞编号:

    CVE-2016-1247

    漏洞描述和危害:

    Debian、ubuntu发行版的Nginx本地提权漏洞,本地攻击者可以通过符号链接到任意文件来替换日志文件,从而实现提权,获取服务器权限。

    漏洞影响范围:

    • Debian: Nginx 1.6.2-5+deb8u3
    • Ubuntu: Ubuntu 16.04LTS: 1.10.0-0ubuntu0.16.04.3、 Ubuntu 14.04 LTS: 1.4.6-1ubuntu3.6、 Ubuntu 16.10:1.10.1-0ubuntu1.1

    漏洞利用条件:

    通过远程利用高方式获取本地权限后,再次利用提权。

    漏洞修复方案:

    升级至最新的Nginx软件包,访问

    Apache Tomcat远程代码执行漏洞

    漏洞编号: CVE-2016-8735

    漏洞描述和危害:

    该漏洞诱因主要存在于Oracle已经修复JmxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)。 Tomcat同时也使用了JmxRemoteLifecycleListener这个监听功能,并且没有及时升级,从而导致该远程代码执行漏洞。

    黑客通过利用漏洞可以实现远程命令执行,严重情况下可能会导致业务中断或数据泄露。

    漏洞利用条件:

    需要外部开启JmxRemoteLifecycleListener监听端口,可以实现远程利用。

    漏洞影响范围:

    • Apache Tomcat 9.0.0.M1 to 9.0.0.M11
    • Apache Tomcat 8.5.0 to 8.5.6
    • Apache Tomcat 8.0.0.RC1 to 8.0.38
    • Apache Tomcat 7.0.0 to 7.0.72
    • Apache Tomcat 6.0.0 to 6.0.47

    漏洞修复方案:

    官方已经发布了版本更新,建议用户升级到最新版本:

    • Apache Tomcat 9.0.0.M13或最新版本
    • Apache Tomcat 8.5.8或最新版本
    • Apache Tomcat 8.0.39或更新版本;
    • Apache Tomcat 7.0.73或更新版本;
    • Apache Tomcat 6.0.48或更新版本

    参考信息:

    Memcached高危漏洞预警

    漏洞编号: CVE-2016-8704、CVE-2016-8705、CVE-2016-8706

    漏洞描述和危害:

    2016年10月31日 Memcached 发布 1.4.33 版本并修复多个高危漏洞,恶意攻击者利用这些漏洞可致远程代码执行、拒绝服务攻击。

    Memcached 是一个高性能的分布式内存对象缓冲系统,一般用于动态Web应用以减轻数据库负载。

    emcached 支持两种协议存取数据:ASCII 和Binary,采用基于内存的Key-Value 方式存储小块的任意数据。CVE-2016-8704、CVE-2016-8705、CVE-2016-8706 三个高危漏洞均与Binary协议相关,存在于Binary协议和SASL身份验证中:

    • CVE-2016-8704 :负责处理Binary协议命令的process_bin_append_prepend函数存在一个整数溢出漏洞,可导致远程命令执行;
    • CVE-2016-8705:负责处理Binary协议命令的process_bin_update函数存在多个整数溢出漏洞,可导致远程命令执行;
    • CVE-2016-8706:负责处理Binary协议命令的process_bin_sasl_auth函数存在一个整数溢出漏洞,可导致远程命令执行;

    恶意攻击者通过构一个造恶意Memcached命令发送给服务器,利用这些漏洞可导致敏感信息泄露,利用这些信息可绕过常见的溢出缓解机制,最终到达远程命令执行或拒绝服务。

    POC测试:

    漏洞影响范围:

    启用Binary协议的Memcached 1.4.32以及之前版。

    漏洞修复方案:

    1. 升级官方最新版本:1.4.33。下载地址:http://www.memcached.org/files/memcached-1.4.33.tar.gz
    2. 限制访问Memcached 11211端口的权限。例如:禁止对外网开放,限制访问11211端口的IP地址和端口等;

    脏牛(Dirty Cow)Linux 内核本地提权漏洞

    漏洞编号: CVE-2016-5195

    漏洞描述和危害:

    Linux内核的内存子系统在处理写入时复制(copy-on-write, COW)时产生了竞争条件(race condition)。恶意用户可利用此漏洞以欺骗系统修改可读的用户空间代码然后执行,一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限。

    黑客可以通过远程入侵获取低权限用户后,在服务器本次利用该漏洞在全版本Linux系统上实现本地提权,从而获取到服务器root权限。

    漏洞利用条件:

    漏洞影响范围:

    该漏洞在全版本Linux系统(Linux kernel >= 2.6.22)均可以实现提权:

    • CentOS 6.5 32位/64位
    • CentOS 7.1 32位/64位
    • Debian 7.5 64位
    • Debian 8.1 64位
    • Ubuntu Server 12.04.4 LTS 32位/64位
    • Ubuntu Server 14.04.1 LTS 32位/64位

    漏洞修复方案:

    我们建议您使用以下方式提前进行自查并完善现有安全策略:

    1. 因为涉及到操作系统内核的升级,我们强烈建议您:正确关闭正在运行的服务,并做好业务数据备份工作。同时创建服务器磁盘快照,避免修复失败造成不可逆的影响。
    2. 使用uname –r查看Linux系统的内核版本,比照【影响版本】确认是否在受影响版本范围,如果在受影响版本,则可按照如下修复方法进行修复:

    【CentOS 6用户】:

    1. yum update kernel,更新当前内核版本
    2. reboot,重启生效
    3. uname -r,检查当前版本是否为2.6.32-642.6.2.el6.x86_64版本,如果是,则说明修复成功。

    【CentOS 7用户】:

    1. yum update kernel,更新当前内核版本
    2. reboot,重启生效
    3. uname -r,检查当前版本是否为3.10.0-327.36.3.el7.x86_64版本,如果是,则说明修复成功。

    【Ubuntu 12.04用户】:

    1. sudo apt-get update;sudo apt-get install linux-image-generic,进行系统更新
    2. sudo reboot,更新后重启系统生效
    3. uname -r,检查当前版本是否为3.2.0-113.155版本,如果是,则说明修复成功。

    【Ubuntu 14.04用户】:

    1. sudo apt-get update;sudo apt-get install linux-image-generic,进行系统更新
    2. sudo reboot,更新后重启系统生效
    3. uname -r,检查当前版本是否为3.13.0-100版本,如果是,则说明修复成功。

    【Debian 7用户】:

    1. apt-get update;apt-get upgrade,进行系统更新
    2. reboot,更新后重启系统生效
    3. sudo dpkg --list | grep linux-image,检查当前版本是否为3.2.82-1版本,如果是,则说明修复成功。

    【Debian 8用户】:

    1. apt-get update;apt-get upgrade,进行系统更新
    2. reboot,更新后重启系统生效
    3. dpkg --list | grep linux-image,检查当前版本是否为3.16.36-1+deb8u2版本,如果是,则说明修复成功。

    参考信息:

    OpenSSL 远程拒绝服务漏洞

    漏洞编号: CVE-2016-8610

    漏洞描述和危害:

    “SSL Death Alert”- 红色警戒漏洞。

    在 OpenSSL 针对 SSL/TLS 协议握手过程的实现中,允许客户端重复发送打包的SSL3_RT_ALERT -> SSL3_AL_WARNING类型明文未定义警告包。同时,OpenSSL 的代码中在遇到未定义警告包时会选择忽略并继续处理接下来的通信内容(如果有的话)。

    攻击者可以利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致进程100%的 CPU 使用率,该漏洞影响到互联网广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx。

    漏洞影响范围:

    • OpenSSL All 0.9.8
    • OpenSSL All 1.0.1
    • OpenSSL 1.0.2 through 1.0.2h
    • OpenSSL 1.1.0

    不受影响的版本:

    • OpenSSL 1.0.2i, 1.0.2j
    • OpenSSL 1.1.0a, 1.1.0b

    漏洞修复方案:

    将OpenSSL升级到最新版:

    • OpenSSL 1.1.0应升级到1.1.0b或更高版本
    • OpenSSL 1.0.2应升级到1.0.2j或更高版本
    • OpenSSL 1.0.1应升级到1.0.2或更高版本

    MySQL 代码执行漏洞

    漏洞编号: CVE-2016-8610

    漏洞描述和危害:

    攻击者仅需有FILE权限即可实现ROOT提权,进而控制服务器。

    漏洞影响范围:

    MySQL 小于等于 5.7.15 版本,小于等于 5.6.33 版本,小于等于 5.5.52 版本

    Mysql分支版本也受影响,包括 MariaDB、PerconaDB。

    漏洞修复方案:

    升级到官方最新版本: