【08.19】安全帮®每日资讯:Apache Shiro身份验证绕过漏洞安全风险通告;美国再拉黑38家华为子公司
Shiro又爆高危漏洞,Apache Shiro身份验证绕过漏洞安全风险通告
Apache Shiro是一个强大且易用的Java安全框架,通过它可以执行身份验证、授权、密码和会话管理。8月18日,奇安信CERT监测到Apache Shiro官方发布安全通告 Apache Shiro身份验证绕过漏洞(CVE-2020-13933),经分析,攻击者可以通过构造特殊的HTTP请求实现身份验证绕过。鉴于该漏洞影响较大,建议客户尽快升级到最新版本。
参考来源:
https://mp.weixin.qq.com/s/eXLOx7k5R5asrmtNhX1BSA
linux-cmdline安全漏洞
cmdline是在linux的config文件中一个特殊的宏定义,linux-cmdline 1.0.1之前版本中存在原型污染漏洞,漏洞编号为CVE-2020-7704。危害等级为超危,目前厂商已发布升级补丁以修复漏洞,补丁获取链接为https://github.com/piranna/linux-cmdline/commit/53c61a88bc47eb25d71832205056beaab95cf677。
参考来源:
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202008-866
美国再拉黑38家华为子公司,升级打压华为获取商用芯片
8月17日,美国国务院和商务部官网分别发表声明,进一步收紧对华为获取美国技术的限制,并将华为在全球21个国家/地区的38家子公司列入“实体清单”,旨在打击华为对商用芯片的获取。本次新增的38家实体,主要涉及华为云、华为OpenLab在国内外的子公司,以及华为收购的以色列IT公司Toga Networks和华为技术在英国的研发公司。
参考来源:
https://www.secrss.com/articles/24795
Opera的安全漏洞凸显了专有密码管理器的问题
Opera Software报告了一个安全漏洞,影响了其Web浏览器内置密码管理器的所有用户,170万用户的同步密码和身份验证密码被泄露。虽然Opera在检测到问题的一周内就迅速向其用户发送电子邮件通知其同步服务,并在其安全博客上发布有关该服务的信息,但攻击何时开始以及攻击的真实程度却不得而知。
参考来源:
http://www.jcoal.com/chanjing/20200817_0827419.html
关于深信服终端检测平台 (EDR) 存在远程命令执行漏洞的安全公告
终端检测响应平台(EDR)是由深信服科技股份有限公司开发的终端安全解决方案。8月18日,国家信息安全漏洞共享平台(CNVD)收录了深信服终端检测平台(EDR)远程命令执行漏洞(CNVD-2020-46552)。攻击者利用该漏洞可远程执行系统命令,获得目标服务器的权限。深信服官方已发布更新版本和补丁,建议相关用户尽快升级至3.2.21版本或升级补丁修复漏洞。
参考来源:
https://www.secrss.com/articles/24812
微软上周修复的一个漏洞已被利用了两年
微软上周二释出的例行安全更新修复了一个编号为 CVE-2020-1464 的漏洞,微软称该漏洞允许攻击者绕过安全功能加载没有正确签名的文件。过去 18 个月有多名安全研究人员向微软报告了该漏洞,它的安全团队验证了漏洞但一直没有给出修复时间。也就是说,软件巨人用了两年时间去修复一个 0day 漏洞。微软没有回答它为什么花了这么长时间修复签名漏洞。
参考来源:
https://www.solidot.org/story?sid=65271
印度正在制定新的国家网络安全战略
印度总理莫迪8月15日发表庆祝印度独立日演讲时表示,印度正在制订《2020年国家网络安全战略》。据印度媒体反映,新的网络安全战略将着眼于不超过5年的规划,从而确保战略不会过时;新战略将聚焦于应对数据保护/隐私、网络空间执法、海外存储数据访问、社交媒体平台滥用、网络犯罪和网络恐怖主义国际合作等挑战。
参考来源:
https://www.secrss.com/articles/24817
本文资讯内容来源于互联网,版权归作者所有,如有侵权,请留言告知,我们将尽快处理。
关于安全帮®
安全帮®,是中国电信网络与信息安全研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。