绿盟科技网络安全威胁周报2017.22 关注Juniper Junos Space任意代码执行漏洞CVE-2017-2306

简介:

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-22,绿盟科技漏洞库本周新增13条,其中高危0条。本次周报建议大家关注 Juniper Networks Junos Space任意代码执行漏洞 。目前厂商已经发布了升级补丁以修复这个安全问题,请到 厂商主页 下载修复。

焦点漏洞

Juniper Networks Junos Space任意代码执行漏洞

  • NSFOCUS ID 36770
  • CVE ID CVE-2017-2306

受影响版本

  • Juniper Networks Junos Space < 16.1R1

漏洞点评

Junos Space是瞻博网络(Juniper Networks)推出的一种管理其交换机、路由器和安全设备产品的解决方案。在Junos Space 16.1R1之前的版本中,存在安全漏洞,可使只读用户在未授权情况下在web管理接口中执行任意代码。目前厂商已经发布了升级补丁以修复这个安全问题,请到 厂商主页 下载修复。

(数据来源:绿盟科技安全研究部&产品规则组)

互联网安全态势

CVE统计

最近一周CVE公告总数与前期相比。值得关注的高危漏洞如下:

威胁信息回顾

  • 影子经纪人公布月度邮件自服务计划
    • 2017年5月30日14:00左右, 影子经纪人TheShadowBrokers如约而至 ,正式发布了“月度爆料服务”的“第一弹”(TheShadowBrokers Monthly Dump Service – June 2017)
    • http://toutiao.secjia.com/shadowbrokers-monthly-dump-service
  • FreeRADIUS allows hackers to log in without credentials
    • The security researcher Stefan Winter has discovered a TLS resumption authentication bypass in FreeRADIUS, the world’s most popular RADIUS Server
    • http://securityaffairs.co/wordpress/59553/hacking/freeradius-tls-resumption-authentication-bypass.html
  • A recently discovered Linux flaw could be exploited by Sudo Users to gain Root Privileges
    • Security researchers at Qualys Security have discovered a Linux Flaw that could be exploited to escalate privileges and overwrite any file on the filesystem
    • http://securityaffairs.co/wordpress/59606/hacking/linux-flaw.html
  • OneLogin: Breach Exposed Ability to Decrypt Data
    • OneLogin, an online service that lets users manage logins to sites and apps from a single platform, says it has suffered a security breach in which customer data was compromised, including the ability to decrypt encrypted data.
    • https://krebsonsecurity.com/2017/06/onelogin-breach-exposed-ability-to-decrypt-data/
  • WannaCry Development Errors Enable File Recovery
    • WannaCry may have caused worldwide havoc on May 12 when it rode the coattailsof the NSA’s weaponized EternalBlue exploit to infect computers in 150 countries, but that doesn’t mean it was a quality piece of ransomware.
    • https://threatpost.com/wannacry-development-errors-enable-file-recovery/126002
  • SyScan360黑客大会
    • 北京时间5月31日凌晨,为期两天的SyScan360在美国西雅图开幕,来自谷歌.微软.Intel.McAfee.360.盘古等众多国内外公司的网络安全专家和顶级黑客齐聚一堂,分享安全圈备受关注的前沿话题
    • http://www.ijiandao.com/news/focus/56256.html
    • http://www.ijiandao.com/news/focus/56293.html

(数据来源:绿盟科技 威胁情报与网络安全实验室 收集整理)

绿盟科技漏洞研究

绿盟科技漏洞库新增13条

截止到2017年6月2日,绿盟科技漏洞库已收录总条目达到36776条。本周新增漏洞记录13条,其中高危漏洞数量0条,中危漏洞数量9条,低危漏洞数量4条。

  • Juniper Networks Junos Space权限提升漏洞(CVE-2017-2305)
    • 危险等级:中
    • cve编号:CVE-2017-2305
  • Juniper Networks Junos Space拒绝服务漏洞(CVE-2017-2311)
    • 危险等级:中
    • cve编号:CVE-2017-2311
  • Juniper Networks Junos Space防火墙绕过漏洞(CVE-2017-2310)
    • 危险等级:低
    • cve编号:CVE-2017-2310
  • Juniper Networks Junos Space信息泄露漏洞(CVE-2017-2309)
    • 危险等级:低
    • cve编号:CVE-2017-2309
  • Juniper Networks Junos SpaceXML外部实体注入漏洞(CVE-2017-2308)
    • 危险等级:低
    • cve编号:CVE-2017-2308
  • Juniper Networks Junos Space跨站脚本漏洞(CVE-2017-2307)
    • 危险等级:低
    • cve编号:CVE-2017-2307
  • Juniper Networks Junos Space任意代码执行漏洞(CVE-2017-2306)
    • 危险等级:中
    • cve编号:CVE-2017-2306
  • VideoLAN VLC plugins\codec\libflac_plugin.dll拒绝服务漏洞(CVE-2017-9300)
    • 危险等级:中
    • BID:98747
    • cve编号:CVE-2017-9300
  • VideoLAN VLC libmpgatofixed32_plugin.dll拒绝服务漏洞(CVE-2017-9301)
    • 危险等级:中
    • BID:98746
    • cve编号:CVE-2017-9301
  • RealPlayer 拒绝服务漏洞(CVE-2017-9302)
    • 危险等级:中
    • cve编号:CVE-2017-9302
  • OpenLDAP ‘servers/slapd/back-mdb/search.c’ 拒绝服务漏洞(CVE-2017-9287)
    • 危险等级:中
    • BID:98736
    • cve编号:CVE-2017-9287
  • Mozilla Network Security Services拒绝服务漏洞(CVE-2017-7502)
    • 危险等级:中
    • BID:98744
    • cve编号:CVE-2017-7502
  • QEMU virtio_gpu_set_scanout函数拒绝服务漏洞(CVE-2017-9060)
    • 危险等级:中
    • cve编号:CVE-2017-9060

(数据来源:绿盟科技安全研究部&产品规则组)


原文发布时间:2017年6月5日

本文由:绿盟科技发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/nsfocus-internet-security-threats-weekly-201722

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
4天前
|
SQL 安全 算法
揭秘网络安全:漏洞、加密与安全意识的三重奏
【10月更文挑战第39天】在数字时代的交响乐中,网络安全扮演着不可或缺的角色。本文旨在通过浅显易懂的语言,揭示网络安全的三大核心要素:网络漏洞、加密技术以及安全意识。我们将探索这些元素如何相互交织,共同维护我们的数字安全。从初学者到资深专家,每个人都能从中获得宝贵的知识和启示。
|
4天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第39天】在数字化时代,网络安全和信息安全成为了我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,帮助读者更好地了解网络安全的重要性,并提供一些实用的技巧和方法来保护自己的信息安全。
14 2
|
4天前
|
存储 安全 网络安全
网络安全与信息安全:漏洞、加密技术与安全意识的交织
【10月更文挑战第39天】在数字化时代,网络安全与信息安全成为保护个人隐私和组织资产的重要屏障。本文将探讨网络安全中的常见漏洞、加密技术的应用以及提升安全意识的重要性。通过具体案例分析,我们将深入了解网络攻击的手段和防御策略,同时提供实用建议,以增强读者对网络安全的认识和防护能力。
|
4天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第39天】在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将探讨网络安全漏洞、加密技术以及安全意识等方面的内容,帮助读者更好地了解网络安全的重要性,并提供一些实用的技巧和建议来保护个人信息和设备安全。
|
5天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第38天】本文将探讨网络安全与信息安全的重要性,包括网络安全漏洞、加密技术和安全意识等方面。我们将通过代码示例和实际操作来展示如何保护网络和信息安全。无论你是个人用户还是企业,都需要了解这些知识以保护自己的网络安全和信息安全。
|
4天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务中的信息安全策略
【10月更文挑战第39天】随着云计算的飞速发展,越来越多的企业和个人将数据和服务迁移到云端。然而,随之而来的网络安全问题也日益突出。本文将从云计算的基本概念出发,深入探讨在云服务中如何实施有效的网络安全和信息安全措施。我们将分析云服务模型(IaaS, PaaS, SaaS)的安全特性,并讨论如何在这些平台上部署安全策略。文章还将涉及最新的网络安全技术和实践,旨在为读者提供一套全面的云计算安全解决方案。
|
6天前
|
SQL 安全 物联网
网络安全与信息安全:深入探讨网络漏洞、加密技术及安全意识###
网络安全与信息安全是当今数字化时代的重要议题。本文将详细探讨网络安全和信息安全的差异,重点介绍常见的网络漏洞、加密技术以及如何提升用户和组织的安全意识。通过具体案例和技术分析,帮助读者理解这些关键概念,并提供实用的建议以应对潜在的网络威胁。 ###
|
7天前
|
安全 网络安全 API
揭秘网络世界的守护神:网络安全与信息安全的深度剖析
【10月更文挑战第36天】在数字时代的洪流中,网络安全和信息安全如同守护神一般,保护着我们的数据不受侵犯。本文将深入探讨网络安全漏洞的成因、加密技术的奥秘以及提升个人安全意识的重要性。通过分析最新的攻击手段、介绍先进的防御策略,并分享实用的安全实践,旨在为读者呈现一个全方位的网络安全与信息安全知识图谱。让我们一同揭开网络世界的神秘面纱,探索那些不为人知的安全秘籍。
24 6
|
5天前
|
存储 安全 网络安全
网络安全与信息安全:从漏洞到加密,保护你的数字生活
【10月更文挑战第38天】在数字化时代,网络安全和信息安全的重要性不言而喻。本文将深入探讨网络安全的漏洞、加密技术以及如何提高个人安全意识,以保护我们的数字生活。我们将通过实际案例,揭示网络安全的脆弱性,并分享如何利用加密技术来保护数据。最后,我们将讨论如何提高个人的安全意识,以防止网络攻击和数据泄露。无论你是IT专业人士,还是普通的互联网用户,这篇文章都将为你提供有价值的信息和建议。
15 3
|
6天前
|
SQL 安全 算法
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第37天】在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的知识,帮助读者更好地了解网络安全的重要性,提高自己的网络安全防护能力。
18 4