绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-16,绿盟科技漏洞库本周新增92条,其中高危39条。本次周报建议大家关注 Apache Log4j反序列化漏洞 。该漏洞主要是由于在处理ObjectInputStream时,接收器对于不可靠来源的input没有过滤。可以通过给TcpSocketServer和UdpSocketServer添加可配置的过滤功能以及一些相关设置,可以有效的解决该漏洞。目前Log4j官方已经发布新版本修复了该漏洞,请用户及时排查是否受到影响,升级版本修复漏洞。
焦点漏洞
- NSFOCUS ID 36412
- CVE ID CVE-2017-5645
受影响版本
- Apache Log4j 2.0-alpha1 – Apache Log4j 2.8.1
漏洞点评
Log4j是Apache的一个开源日志项目,通过使Log4j可以方便地集成日志记录功能。近日,Apache Log4j 被曝出存在一个反序列化漏洞(CVE-2017-5645)。攻击者可以通过发送一个特别制作的2进制payload,在组件将字节反序列化为对象时,触发并执行构造的payload代码。该漏洞主要是由于在处理ObjectInputStream时,接收器对于不可靠来源的input没有过滤。可以通过给TcpSocketServer和UdpSocketServer添加可配置的过滤功能以及一些相关设置,可以有效的解决该漏洞。目前Log4j官方已经发布新版本修复了该漏洞,请用户及时排查是否受到影响,升级版本修复漏洞。
(数据来源:绿盟科技安全研究部&产品规则组)
互联网安全态势
CVE统计
最近一周CVE公告总数与前期相比明显下降。值得关注的高危漏洞如下:
(我赛,这期cve数量真是出奇的少啊)
威胁热点信息回顾
- 25款Linksys路由器出现10个漏洞 其中6个可以被利用进行DoS或者窃取数据 目前没有官方补丁
- 网络安全研究人员披露说,Linksys路由器存在大约十几个未修复的安全问题,影响目前广泛使用的25款Linksys无线智能路由器
- http://toutiao.secjia.com/25-linksys-router-appears-10-vulnerabilities
- 卡巴斯基漏洞攻击报告 2010攻击伊朗核电站的微软漏洞 在过去两年中仍旧是利用最多的漏洞
- 卡巴斯基实验室公布了一份报告《 ATTACKS WITH EXPLOITS: FROM EVERYDAY THREATS TO TARGETED CAMPAIGNS 》。报告显示微软2010年的 windows 漏洞CVE-2010-2568, 多年来被用于传播的 stuxnet 蠕虫, 但在2015及2016年仍旧是利用最多的漏洞
- http://toutiao.secjia.com/kaspersky-attacks-with-exploits-report
- mbedtls远程代码执行漏洞CVE-2017-2784
- mbedtls是个开源的、易于使用的SSL库,常用于 物联网 、 车联网 等场景下 的嵌入式设备 ,这次mbedtls爆出RCE远程代码执行漏洞,攻击者利用它可以实施中间人攻击。官方已经发布相关补丁修复了该漏洞。
- http://toutiao.secjia.com/mbedtls-rce-cve-2017-2784
- PHP邮件Squirrelmail远程代码执行漏洞CVE-2017-7692
- 北京时间4月19日晚,Squirrelmail被爆出存在一个远程代码执行漏洞(CVE-2017-7692,CNNVD-201704-561)。该漏洞是由于在传递一个字符串给popen调用之前,没有对其进行过滤和无害化处理。因此攻击者有可能利用此漏洞在远程服务器上越权执行任意代码。该漏洞存在于initStream函数Deliver_SendMail.class.php中,它会使用escapeshellcmd()来过滤和无害化发送邮件的命令。然而escapeshellcmd()并没有对空格字符进行转义,因此会触发任意指令参数的注入。
- http://toutiao.secjia.com/squirrelmail-rce-cve-2017-7692
- VMWARE Workstation出现多个严重漏洞
- 地时间2017年4月19日(北京时间2017年4月20日),VMWARE官方发布安全通告,VMware Unified Access Gateway, Horizon View and Workstation产品存在多个严重漏洞
- http://toutiao.secjia.com/vmware-workstation-vulnerabilities
- Karmen勒索软件即服务诞生了 单价175美金已经售出20份
- 去年年底,安全加报道了 勒索软件+蠕虫病毒结合后会发生什么 利益最大化的驱使下这种可能性非常大 ,今天勒索软件即服务终于实现了。黑客可以在黑市上花175美金买到一个易于使用的勒索套件, 这个套件名字叫做Karmen。一位名叫 DevBitox 的俄语用户已经在地下论坛上刊登了广告, Recorded Future 安全公司在周二的博客文章中说了未来的记录。
- http://toutiao.secjia.com/karmen-ransomware-as-a-service
- Apache日志记录组件Log4j出现反序列化漏洞
- Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码
- http://toutiao.secjia.com/apache-log4j-deserialization-vulnerabilities-cve-2017-5645
- Jackson框架出现Java反序列化漏洞
- Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象,在2017年3月份, fastjson 1.2.24之前版本曾经出现过严重漏洞 。而更早的时候,Java反序列化漏洞问题曾经一度让大家心惊肉跳,这次是Jackson框架 2.7.10 及2.8.9以下版本出现任意代码执行漏洞,攻击者利用该漏洞可以获得网站控制权。
- http://toutiao.secjia.com/jackson-framework-appears-java-deserialization-vulnerability
- InterContinental Hotels Group, the international hotel chain confirmed a second credit card breach
- The InterContinental Hotels Group announced that last week payment card systems at more than 1,000 of its hotels had been compromised by crooks.
- http://securityaffairs.co/wordpress/58129/data-breach/intercontinental-hotels-group-breach.html
- 一种几乎无法被检测到的Punycode钓鱼攻击,Chrome、Firefox和Opera等浏览器都中招
- 国内的安全专家最近发现一种新的钓鱼攻击,“几乎无法检测”,即便平时十分谨慎的用户也可能无法逃过欺骗。黑客可利用Chrome、Firefox和Opera浏览器中的已知漏洞,将虚假的域名伪装成苹果、谷歌或者亚马逊网站,以窃取用户的登录凭证、金融凭证或其他敏感信息。
- Job seekers on ZipRecruiter being targeted by scams via email and text
- http://www.csoonline.com/article/3190905/security/job-seekers-on-ziprecruiter-being-targeted-by-scams-via-email-and-text.html
(数据来源:绿盟科技 威胁情报与网络安全实验室 收集整理)
绿盟科技漏洞研究
绿盟科技漏洞库新增92条
截止到2017年4月21日,绿盟科技漏洞库已收录总条目达到36494条。本周新增漏洞记录92条,其中高危漏洞数量39条,中危漏洞数量30条,低危漏洞数量23条。
- Microsoft Windows SMB Server远程代码执行漏洞(CVE-2017-0146)
- 危险等级:高
- BID:96707
- cve编号:CVE-2017-0146
- Microsoft Windows SMB Server远程代码执行漏洞(CVE-2017-0145)
- 危险等级:高
- BID:96705
- cve编号:CVE-2017-0145
- Microsoft Windows SMB Server远程代码执行漏洞(CVE-2017-0144)
- 危险等级:高
- BID:96704
- cve编号:CVE-2017-0144
- Microsoft Windows SMB Server远程代码执行漏洞(CVE-2017-0143)
- 危险等级:高
- BID:96703
- cve编号:CVE-2017-0143
- Microsoft Windows SMB Server远程代码执行漏洞(CVE-2017-0148)
- 危险等级:高
- BID:96706
- cve编号:CVE-2017-0148
- Microsoft Windows SMB Server远程信息泄露漏洞(CVE-2017-0147)
- 危险等级:高
- BID:96709
- cve编号:CVE-2017-0147
- Linux kernel CONFIG_STRICT_DEVMEM安全限制绕过漏洞(CVE-2017-7889)
- 危险等级:中
- cve编号:CVE-2017-7889
- MantisBT 未授权访问漏洞(CVE-2017-7615)
- 危险等级:低
- cve编号:CVE-2017-7615
- LibreOffice HWPFile::TagsRead函数安全漏洞(CVE-2017-7882)
- 危险等级:中
- cve编号:CVE-2017-7882
- Apache Log4j远程代码执行漏洞(CVE-2017-5645)
- 危险等级:中
- BID:97702
- cve编号:CVE-2017-5645
- Oracle VM VirtualBox本地安全限制绕过漏洞(CVE-2017-3538)
- 危险等级:中
- BID:97698
- cve编号:CVE-2017-3538
- PostgreSQL 权限提升漏洞(CVE-2016-5424)
- 危险等级:中
- BID:92435
- cve编号:CVE-2016-5424
- PostgreSQL 空指针间接引用远程代码执行漏洞(CVE-2016-5423)
- 危险等级:中
- BID:92433
- cve编号:CVE-2016-5423
- Google gRPC 堆缓冲区溢出漏洞(CVE-2017-7860)
- 危险等级:低
- BID:97695
- cve编号:CVE-2017-7860
- Apache Tomcat信息泄露漏洞(CVE-2017-5648)
- 危险等级:中
- BID:97530
- cve编号:CVE-2017-5648
- Apache Tomcat拒绝服务漏洞(CVE-2017-5650)
- 危险等级:中
- BID:97531
- cve编号:CVE-2017-5650
- Apache Tomcat信息泄露漏洞(CVE-2017-5651)
- 危险等级:中
- BID:97544
- cve编号:CVE-2017-5651
- Google gRPC 堆缓冲区溢出漏洞(CVE-2017-7861)
- 危险等级:低
- BID:97694
- cve编号:CVE-2017-7861
- Trend Micro Threat Discovery Appliance命令执行漏洞(CVE-2016-7547)
- 危险等级:中
- BID:97610
- cve编号:CVE-2016-7547
- Oracle WebCenter Sites远程安全漏洞(CVE-2017-3545)
- 危险等级:中
- BID:97804
- cve编号:CVE-2017-3545
- Oracle WebCenter Content 远程安全漏洞(CVE-2017-3625)
- 危险等级:中
- BID:97769
- cve编号:CVE-2017-3625
- Oracle WebCenter Sites远程安全漏洞(CVE-2017-3542)
- 危险等级:高
- BID:97760
- cve编号:CVE-2017-3542
- Oracle MySQL Enterprise Monitor 远程安全漏洞(CVE-2017-3307)
- 危险等级:低
- BID:97844
- cve编号:CVE-2017-3307
- Oracle Identity Manager远程安全漏洞(CVE-2017-3553)
- 危险等级:高
- BID:97728
- cve编号:CVE-2017-3553
- Oracle Fusion Middleware远程安全漏洞(CVE-2017-3540)
- 危险等级:高
- BID:97753
- cve编号:CVE-2017-3540
- Oracle Fusion Middleware远程安全漏洞(CVE-2017-3543)
- 危险等级:高
- BID:97768
- cve编号:CVE-2017-3543
- Oracle FLEXCUBE Enterprise Limits and Collateral Management本地安全漏洞(CVE-2017-3483)
- 危险等级:低
- BID:97846
- cve编号:CVE-2017-3483
- Oracle MySQL Server远程安全漏洞(CVE-2017-3459)
- 危险等级:低
- BID:97847
- cve编号:CVE-2017-3459
- Oracle Berkeley DB本地安全漏洞(CVE-2017-3604)
- 危险等级:高
- BID:97798
- cve编号:CVE-2017-3604
- Oracle WebCenter Sites远程安全漏洞(CVE-2017-3596)
- 危险等级:高
- BID:97875
- cve编号:CVE-2017-3596
- Oracle Fusion Middleware远程安全漏洞(CVE-2017-3545)
- 危险等级:高
- BID:97804
- cve编号:CVE-2017-3545
- Oracle WebCenter Sites远程安全漏洞(CVE-2017-3593)
- 危险等级:中
- BID:97879
- cve编号:CVE-2017-3593
- Oracle FLEXCUBE Private Banking 远程安全漏洞(CVE-2017-3471)
- 危险等级:低
- BID:97828
- cve编号:CVE-2017-3471
- Oracle MySQL Server远程安全漏洞(CVE-2017-3460)
- 危险等级:低
- BID:97826
- cve编号:CVE-2017-3460
- Oracle Solaris 本地安全漏洞(CVE-2017-3498)
- 危险等级:低
- BID:97827
- cve编号:CVE-2017-3498
- Oracle MySQL Server远程安全漏洞(CVE-2017-3456)
- 危险等级:低
- BID:97831
- cve编号:CVE-2017-3456
- Oracle Hospitality OPERA 5 Property Services远程安全漏洞(CVE-2017-3560)
- 危险等级:低
- BID:97829
- cve编号:CVE-2017-3560
- Oracle FLEXCUBE Universal Banking远程安全漏洞(CVE-2017-3480)
- 危险等级:低
- BID:97832
- cve编号:CVE-2017-3480
- Oracle Solaris 本地安全漏洞(CVE-2017-3474)
- 危险等级:低
- BID:97834
- cve编号:CVE-2017-3474
- Oracle MySQL Workbench远程安全漏洞(CVE-2017-3469)
- 危险等级:低
- BID:97833
- cve编号:CVE-2017-3469
- Oracle Hospitality OPERA 5 Property Services远程安全漏洞(CVE-2017-3568)
- 危险等级:低
- BID:97835
- cve编号:CVE-2017-3568
- Oracle MySQL Connectors本地安全漏洞(CVE-2017-3589)
- 危险等级:低
- BID:97836
- cve编号:CVE-2017-3589
- Oracle MySQL Connectors本地安全漏洞(CVE-2017-3590)
- 危险等级:低
- BID:97840
- cve编号:CVE-2017-3590
- Oracle MySQL Server远程安全漏洞(CVE-2017-3458)
- 危险等级:低
- BID:97837
- cve编号:CVE-2017-3458
- Oracle Hospitality OPERA 5 Property Services远程安全漏洞(CVE-2017-3552)
- 危险等级:低
- BID:97838
- cve编号:CVE-2017-3552
- Oracle FLEXCUBE Universal Banking远程安全漏洞(CVE-2017-3535)
- 危险等级:低
- BID:97839
- cve编号:CVE-2017-3535
- Oracle WebCenter Sites远程安全漏洞(CVE-2017-3554)
- 危险等级:中
- BID:97842
- cve编号:CVE-2017-3554
- Oracle Hospitality OPERA 5 Property Services远程安全漏洞(CVE-2017-3569)
- 危险等级:低
- BID:97841
- cve编号:CVE-2017-3569
- Oracle MySQL Server远程安全漏洞(CVE-2017-3457)
- 危险等级:低
- BID:97845
- cve编号:CVE-2017-3457
- Oracle FLEXCUBE Universal Banking远程安全漏洞(CVE-2017-3494)
- 危险等级:低
- BID:97843
- cve编号:CVE-2017-3494
- Oracle Berkeley DB本地安全漏洞(CVE-2017-3617)
- 危险等级:高
- BID:97865
- cve编号:CVE-2017-3617
- Oracle Berkeley DB本地安全漏洞(CVE-2017-3616)
- 危险等级:高
- BID:97864
- cve编号:CVE-2017-3616
- Oracle Berkeley DB本地安全漏洞(CVE-2017-3615)
- 危险等级:高
- BID:97863
- cve编号:CVE-2017-3615
- Oracle Berkeley DB本地安全漏洞(CVE-2017-3614)
- 危险等级:高
- BID:97862
- cve编号:CVE-2017-3614
- Oracle Berkeley DB本地安全漏洞(CVE-2017-3613)
- 危险等级:高
- BID:97861
- cve编号:CVE-2017-3613
- Oracle Berkeley DB本地安全漏洞(CVE-2017-3610)
- 危险等级:高
- BID:97858
- cve编号:CVE-2017-3610
- Oracle Berkeley DB本地安全漏洞(CVE-2017-3611)
- 危险等级:高
- BID:97859
- cve编号:CVE-2017-3611
- Oracle Berkeley DB本地安全漏洞(CVE-2017-3612)
- 危险等级:高
- BID:97860
- cve编号:CVE-2017-3612
- Oracle Berkeley DB本地安全漏洞(CVE-2017-3609)
- 危险等级:高
- BID:97857
- cve编号:CVE-2017-3609
- Oracle Berkeley DB本地安全漏洞(CVE-2017-3608)
- 危险等级:高
- BID:97856
- cve编号:CVE-2017-3608
- Oracle Database Server远程安全漏洞(CVE-2017-3486)
- 危险等级:中
- BID:97870
- cve编号:CVE-2017-3486
- Oracle Database Server远程安全漏洞(CVE-2017-3567)
- 危险等级:中
- BID:97873
- cve编号:CVE-2017-3567
- Oracle Berkeley DB本地安全漏洞(CVE-2017-3607)
- 危险等级:高
- BID:97855
- cve编号:CVE-2017-3607
- Oracle Berkeley DB本地安全漏洞(CVE-2017-3605)
- 危险等级:高
- BID:97870
- cve编号:CVE-2017-3605
- Oracle Berkeley DB本地安全漏洞(CVE-2017-3606)
- 危险等级:高
- BID:97854
- cve编号:CVE-2017-3606
- Oracle WebLogic Server 远程安全漏洞(CVE-2017-3531)
- 危险等级:高
- BID:97894
- cve编号:CVE-2017-3531
- Squirrelmail 远程代码执行漏洞(CVE-2017-7692)
- 危险等级:中
- cve编号:CVE-2017-7692
- Oracle Service Bus远程安全漏洞(CVE-2017-3507)
- 危险等级:高
- BID:97888
- cve编号:CVE-2017-3507
- Oracle Social Network 远程安全漏洞(CVE-2017-3499)
- 危险等级:高
- BID:97878
- cve编号:CVE-2017-3499
- Oracle WebLogic Server 远程安全漏洞(CVE-2017-3506)
- 危险等级:高
- BID:97884
- cve编号:CVE-2017-3506
- RedHat JBoss 多个产品远程代码执行漏洞(CVE-2015-7501)
- 危险等级:中
- BID:78215
- cve编号:CVE-2015-7501
- Oracle Fusion Middleware MapViewer远程安全漏洞(CVE-2017-3230)
- 危险等级:高
- BID:97746
- cve编号:CVE-2017-3230
- Oracle WebCenter Sites远程安全漏洞(CVE-2017-3541)
- 危险等级:高
- BID:97809
- cve编号:CVE-2017-3541
- Oracle API Gateway远程安全漏洞(CVE-2017-3601)
- 危险等级:高
- BID:97817
- cve编号:CVE-2017-3601
- Oracle WebCenter Sites远程安全漏洞(CVE-2017-3602)
- 危险等级:高
- BID:97823
- cve编号:CVE-2017-3602
- VMware Workstation/Horizon Client堆缓冲区溢出漏洞(CVE-2017-4908)
- 危险等级:中
- BID:97912
- cve编号:CVE-2017-4908
- VMware Workstation/Horizon Client堆缓冲区溢出漏洞(CVE-2017-4907)
- 危险等级:中
- BID:97914
- cve编号:CVE-2017-4907
- VMware Workstation/Horizon Client堆缓冲区溢出漏洞(CVE-2017-4909)
- 危险等级:中
- BID:97911
- cve编号:CVE-2017-4909
- VMware Workstation/Horizon Client远程代码执行漏洞(CVE-2017-4910)
- 危险等级:中
- BID:97913
- cve编号:CVE-2017-4910
- VMware Workstation/Horizon Client远程代码执行漏洞(CVE-2017-4911)
- 危险等级:中
- BID:97916
- cve编号:CVE-2017-4911
- VMware Workstation/Horizon Client整数溢出漏洞(CVE-2017-4913)
- 危险等级:中
- BID:97920
- cve编号:CVE-2017-4913
- VMware Workstation/Horizon Client远程代码执行漏洞(CVE-2017-4912)
- 危险等级:中
- BID:97921
- cve编号:CVE-2017-4912
- Cisco Integrated Management Controller命令执行漏洞(CVE-2017-6619)
- 危险等级:中
- BID:97925
- cve编号:CVE-2017-6619
- Atlassian JIRA远程代码执行漏洞(CVE-2017-5983)
- 危险等级:中
- BID:97379
- cve编号:CVE-2017-5983
- Action Message Format (AMF3) Java远程代码执行漏洞
- 危险等级:高
- cve编号:
- SAMSUNG Tizen系统多个安全漏洞
- 危险等级:高
- cve编号:
- Cisco Integrated Management Controller跨站脚本漏洞(CVE-2017-6618)
- 危险等级:中
- BID:97927
- cve编号:CVE-2017-6618
- Cisco Integrated Management Controller远程代码执行漏洞(CVE-2017-6616)
- 危险等级:中
- BID:97928
- cve编号:CVE-2017-6616
- Cisco IOS/IOS XE Software EnergyWise 多个拒绝服务漏洞
- 危险等级:高
- BID:97935
- cve编号:CVE-2017-3860,CVE-2017-3861,CVE-2017-3862,CVE-2017-3863
- Cisco FindIT Network Probe信息泄露漏洞(CVE-2017-6614)
- 危险等级:中
- BID:97926
- cve编号:CVE-2017-6614
- Cisco Unified Communications Manager拒绝服务漏洞(CVE-2017-3808)
- 危险等级:高
- BID:97922
- cve编号:CVE-2017-3808
- Cisco Prime Network Registrar DNS拒绝服务漏洞(CVE-2017-6613)
- 危险等级:高
- BID:97924
- cve编号:CVE-2017-6613
(数据来源:绿盟科技安全研究部&产品规则组)
原文发布时间:2017年4月24日
本文由:绿盟科技发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/nsfocus-internet-security-threats-weekly-201716
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
