首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第01周

颁布功夫 2020-01-06

>本周安全态势综述

2019年12月30日至2020年01月05日共收录安全缝隙50个，，，，，，，值得关注的是Apache Solr Velocity模板代码注入缝隙; Tencent WeChat用户名号令注入缝隙；；；；；；ALE Alcatel-Lucent Omnivista 4760代码执行缝隙；；；；；；Nagios XI schedulereport.php SHELL号令注入缝隙；；；；；；Cisco Data Center Network Manager SOAP API OS号令注入缝隙。。。。。

本周值得关注的网络安全事务是Nagios XI远程号令执行缝隙（CVE-2019-20197）；；；；；；美法院授权微软收受朝鲜APT37节造的50个域名；；；；；；物联网供给商Wyze意表泄露约240万客户信息；；；；；；爱尔兰当局颁布2019-2024国度网络安全战术；；；；；；星巴克员工上传API密钥到GitHub上，，，，，，，可接见内部系统。。。。。

凭据以上综述，，，，，，，本周安全威胁为中。。。。。

>沉要安全缝隙列表

1. Apache Solr Velocity模板代码注入缝隙

Apache Solr Velocity模板VelocityResponseWriter存在安全缝隙，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，通过界说一个将该配置设置为 "true" 的响应写入器来启用 "parms .resource.loader. loader”，，，，，，，可执行肆意代码。。。。。

https://issues.apache.org/jira/browse/SOLR-13971

2. Tencent WeChat用户名号令注入缝隙

Tencent WeChat解析usernames存在安全缝隙，，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，，能够利用法式高低文执行执行肆意代码。。。。。

https://www.zerodayinitiative.com/advisories/ZDI-19-1035/

3. ALE Alcatel-Lucent Omnivista 4760代码执行缝隙

ALE Alcatel-Lucent Omnivista实现存在安全缝隙，，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，，能够SYSTEM用户身份执行代码。。。。。

https://packetstormsecurity.com/files/155595/Alcatel-Lucent-Omnivista-8770-Remote-Code-Execution.html

4. Nagios XI schedulereport.php SHELL号令注入缝隙

Nagios XI schedulereport.php存在输入验证缝隙，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，能够利用法式高低文执行肆意SHELL号令。。。。。

https://code610.blogspot.com/2019/12/postauth-rce-in-latest-nagiosxi.html

5. Cisco Data Center Network Manager SOAP API OS号令注入缝隙

Cisco Data Center Network Manager SOAP API存在输入验证缝隙，，，，，，，允许通过验证的远程攻击者能够利用缝隙提交特殊的要求，，，，，，，可注入肆意OS号令并执行。。。。。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-comm-inject

>沉要安全事务综述

1、Nagios XI远程号令执行缝隙（CVE-2019-20197）