首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第48周

颁布功夫 2019-12-09

>本周安全态势综述

2019年12月02日至08日共收录安全缝隙48个，，，，，，值得关注的是Google Kubernetes API沉定向缝隙; D-Link DAP-1860号令注入代码执行缝隙；；；；；OpenBSD验证绕过缝隙；；；；；Apache Olingo AbstractService ObjectInputStream反序列化代码执行缝隙；；；；；Mozilla Firefox ESR worker destruction内存谬误引用缝隙。。。。。。。。

本周值得关注的网络安全事务是欧洲网络安全局颁布海事部门网络安全指南；；；；；Android缝隙StrandHogg可假装成肆意利用；；；；；GoAhead Web服务器RCE缝隙影响大量IoT设备；；；；；Autodesk、趋向科技及卡巴斯基曝DLL劫持缝隙；；；；；PCI SSC颁布非接触式支付的新数据安全尺度。。。。。。。。

凭据以上综述，，，，，，本周安全威胁为钟祝。。。。。。。

>沉要安全缝隙列表

1. Google Kubernetes API沉定向缝隙

Google Kubernetes API server没有正确验证URL的沉定向，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，将API服务器要求沉定向到肆意主机。。。。。。。。

https://github.com/kubernetes/kubernetes/issues/85867

2. D-Link DAP-1860号令注入代码执行缝隙

D-Link DAP-1860 HNAP_TIME和SOAPAction存在号令注入缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，可执行肆意代码。。。。。。。。

https://chung96vn.wordpress.com/2019/11/15/d-link-dap-1860-vulnerabilities/

3. OpenBSD验证绕过缝隙

OpenBSD验证系统存在安全缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求用户名，，，，，，如"-option"或"-schallenge"，，，，，，绕过安全限度，，，，，，未授权接见系统。。。。。。。。

https://packetstormsecurity.com/files/155572/Qualys-Security-Advisory-OpenBSD-Authentication-Bypass-Privilege-Escalation.html

4. Apache Olingo AbstractService ObjectInputStream反序列化代码执行缝隙

Apache Olingo AbstractService ObjectInputStream存在反序列化缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，可执行肆意代码。。。。。。。。

https://mail-archives.apache.org/mod_mbox/olingo-user/201912.mbox/%3CCAGSZ4d4vbSYaVh3aUWAvcVHK2qcFxxCZd3WAx3xbwZXskPX8nw%40mail.gmail.com%3E

5. Mozilla Firefox ESR worker destruction内存谬误引用缝隙

Mozilla Firefox ESR worker destruction存在内存谬误引用两次开释缝隙，，，，，，允许远程攻击者利用缝隙提交特殊的WEB要求，，，，，，诱使用户解析，，，，，，可使利用法式崩�；；；；；蛑葱兴烈獯搿�。。。。。。。

https://www.auscert.org.au/bulletins/ESB-2019.4555/

>沉要安全事务综述

1、欧洲网络安全局颁布海事部门网络安全指南