完美世界有声小说全集,盗墓笔记小说,天蚕土豆

雷神眾測(cè)漏洞周報(bào)2020.2.10-2.16-8（CVE-2020-0618）

2020-02-21 11:21:01 【大中小】

No.1 聲明

以下預(yù)警內(nèi)容，均摘自于互聯(lián)網(wǎng)，由于傳播，利用此文所提供的信息而造成的任何直接或間接的后果和損失，均由使用者本人負(fù)責(zé)，雷神眾測(cè)以及文章作者不承擔(dān)任何責(zé)任。

雷神眾測(cè)擁有該文章的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此文章，必須保證此文章的副本，包括版權(quán)聲明等全部?jī)?nèi)容。聲明雷神眾測(cè)允許，不得任意修改或增減此文章內(nèi)容，不得以任何方式將其用于商業(yè)目的。

No.2 目錄

1、微軟 SQL Server Reporting Services遠(yuǎn)程代碼執(zhí)行

2、Apache Dubbo反序列化漏洞

3、Foxit PhantomPDF釋放后重用遠(yuǎn)程代碼執(zhí)行漏洞

4、Foxit Reader釋放后重用遠(yuǎn)程代碼執(zhí)行漏洞

5、Foxit Reader整數(shù)溢出遠(yuǎn)程代碼執(zhí)行漏洞

6、Microsoft .NET Framework遠(yuǎn)程執(zhí)行代碼漏洞

7、Microsoft Windows Common Log File System Driver提權(quán)漏洞

8、GitLab信息泄露漏洞

No.3 漏洞詳情

1. 微軟 SQL Server Reporting Services遠(yuǎn)程代碼執(zhí)行

漏洞介紹：

該漏洞需要經(jīng)過身份驗(yàn)證后，攻擊者向 SQL Server 的報(bào)告服務(wù)(Reporting Services) 發(fā)送特制請(qǐng)求進(jìn)行觸發(fā)。

漏洞危害：

攻擊成功可獲得SQL Server服務(wù)的對(duì)應(yīng)控制權(quán)限。

漏洞編號(hào)：

CVE-2020-0618

影響范圍：

SQL Server 2016 Service Pack 2(GDR) 13.0.5026.0 - 13.0.5101.9

SQL Server 2016 Service Pack 2 CU11 13.0.5149.0 - 13.0.5598.27

SQL Server 2014 Service Pack 3 (GDR) 12.0.6024.0 - 12.0.6108.1

Server 2014 Service Pack 2 CU4 12.0.6205.1 - 12.0.6329.1

SQL Server 2012 Service Pack 4 (QFE) 111.0.7001.0 - 11.0.7462.6

修復(fù)方案：

更新對(duì)應(yīng)補(bǔ)丁

來源：360cert

2. Apache Dubbo反序列化漏洞

漏洞介紹：

Apache Dubbo是一款高性能、輕量級(jí)的開源Java RPC框架，它提供了三大核心能力：面向接口的遠(yuǎn)程方法調(diào)用，智能容錯(cuò)和負(fù)載均衡，以及服務(wù)自動(dòng)注冊(cè)和發(fā)現(xiàn)。

漏洞危害：

Apache Dubbo支持多種協(xié)議，官方默認(rèn)為 Dubbo 協(xié)議，當(dāng)用戶選擇http協(xié)議進(jìn)行通信時(shí)，Apache Dubbo 在接受來自消費(fèi)者的遠(yuǎn)程調(diào)用的POST請(qǐng)求的時(shí)候會(huì)執(zhí)行一個(gè)反序列化的操作，由于沒有任何安全校驗(yàn)，于是可以造成反序列化執(zhí)行任意代碼。

漏洞編號(hào):

CVE-2019-17564

影響范圍：

2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo 2.5.x 的所有版本

修復(fù)建議：

更新對(duì)應(yīng)補(bǔ)丁

來源：360cert

3.Foxit PhantomPDF釋放后重用遠(yuǎn)程代碼執(zhí)行漏洞

漏洞介紹：
PhantomPDF是中國(guó)福昕（Foxit）公司的一款面向企業(yè)級(jí)用戶的PDF文檔處理軟件。

漏洞危害：
Foxit PhantomPDF 9.7.0.29455及更早版本中AcroForms中水印的處理存在釋放后重用遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞源于在對(duì)對(duì)象執(zhí)行操作之前未能驗(yàn)證對(duì)象是否存在。攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。

漏洞編號(hào)：

CVE-2020-8845

影響范圍：

Foxit Foxit PhantomPDF <=9.7.0.29455

修復(fù)建議：

更新對(duì)應(yīng)補(bǔ)丁

來源：CNVD

4. Foxit Reader釋放后重用遠(yuǎn)程代碼執(zhí)行漏洞

漏洞介紹：
Foxit Reader（舊名：Foxit PDF Reader）是一套用來閱讀PDF格式文件的軟件，由福建福昕軟件所研發(fā)。Foxit Reader是一套自由使用的軟件，操作系統(tǒng)主要以Microsoft Windows為主，且只要有Win32執(zhí)行環(huán)境的操作系統(tǒng)上皆可使用。

漏洞危害：

Foxit Reader 9.7.0.29478及更早版本中的AcroForms中的表單注釋對(duì)象的解析存在釋放后重用遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞源于在對(duì)對(duì)象執(zhí)行操作之前未能驗(yàn)證對(duì)象是否存在。攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。

漏洞編號(hào)：

CVE-2020-8857

影響范圍：
Foxit Foxit Reader <=9.7.0.29478

修復(fù)建議：
更新對(duì)應(yīng)補(bǔ)丁

來源：CNVD

5. Foxit Reader整數(shù)溢出遠(yuǎn)程代碼執(zhí)行漏洞

漏洞危害：

Foxit Reader 9.7.0.29478及更早版本中CovertToPDF中JPEG文件的解析存在整數(shù)溢出遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞源于對(duì)用戶提供的數(shù)據(jù)缺少適當(dāng)?shù)尿?yàn)證。攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。

漏洞編號(hào)：

CVE-2020-8844

影響范圍：
Foxit Foxit Reader <=9.7.0.29478

修復(fù)建議：
更新對(duì)應(yīng)補(bǔ)丁

來源：CNVD

6.Microsoft .NET Framework遠(yuǎn)程執(zhí)行代碼漏洞

漏洞介紹：
Microsoft .NET Framework是美國(guó)微軟（Microsoft）公司的一種全面且一致的編程模型，也是一個(gè)用于構(gòu)建Windows、Windows Store、Windows Phone、Windows Server和Microsoft Azure的應(yīng)用程序的開發(fā)平臺(tái)。該平臺(tái)包括C＃和Visual Basic編程語言、公共語言運(yùn)行庫(kù)和廣泛的類庫(kù)。

漏洞危害：

Microsoft .NET Framework存在遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可借助特制的文件利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。

漏洞編號(hào)：

CVE-2020-0606

影響范圍：

Microsoft .NET Framework 3.0 SP2

Microsoft .NET Framework 3.5

Microsoft .NET Framework 3.5.1

Microsoft .Net Framework 3.0

Microsoft .NET Framework 4.6

Microsoft .NET Framework 4.6.2

Microsoft .NET Framework 4.7

Microsoft .NET Framework 4.7.1

Microsoft .NET Framework 4.7.2

Microsoft .NET Framework 4.5.2

Microsoft .NET Framework 4.6.1

Microsoft .NET Framework 4.8

Microsoft .NET Framework 3.1

修復(fù)建議：

更新對(duì)應(yīng)補(bǔ)丁

來源：CNVD

7.Microsoft Windows Common Log File System Driver提權(quán)漏洞

漏洞介紹：

Microsoft Windows和Microsoft Windows Server都是美國(guó)微軟（Microsoft）公司的產(chǎn)品。Microsoft Windows是一套個(gè)人設(shè)備使用的操作系統(tǒng)。Microsoft Windows Server是一套服務(wù)器操作系統(tǒng)。Microsoft Windows Common Log File System Driver是一個(gè)通用目的的日志文件系統(tǒng)，它可以從內(nèi)核模式或用戶模式的應(yīng)用程序訪問，用以構(gòu)建一個(gè)高性能的事務(wù)日志。

漏洞危害：

Microsoft Windows Common Log File System (CLFS) Driver中存在提權(quán)漏洞，該漏洞源于程序未能正確處理內(nèi)存對(duì)象。攻擊者可通過登錄到系統(tǒng)并運(yùn)行特制的應(yīng)用程序利用該漏洞提升權(quán)限并執(zhí)行代碼。

漏洞編號(hào)：

CVE-2020-0634

影響范圍：

Microsoft Windows Server 2008 SP2

Microsoft Windows 7 SP1

Microsoft Windows 8.1

Microsoft Windows RT 8.1 SP0

Microsoft Windows Server 2012 R2

Microsoft Windows 10 1607

Microsoft Windows Server 2016

Microsoft Windows Server 2012

Microsoft Windows 10 1709

Microsoft Windows 10 1803

Microsoft Windows 10

Microsoft Windows Server 2008 R2 SP1

Microsoft Windows Server 2019

Microsoft Windows Server 2016 1803

Microsoft Windows Server 1903

Microsoft Windows 10 1809

Microsoft Windows 10 1903

Microsoft Windows Server 1909

Microsoft Windows 10 1909

修復(fù)建議：
更新對(duì)應(yīng)補(bǔ)丁

來源：CNVD

8.GitLab信息泄露漏洞

漏洞介紹：

GitLab是美國(guó)GitLab公司的一款使用Ruby on Rails開發(fā)的、自托管的、Git（版本控制系統(tǒng)）項(xiàng)目倉(cāng)庫(kù)應(yīng)用程序。該程序可用于查閱項(xiàng)目的文件內(nèi)容、提交歷史、Bug列表等。

漏洞危害：

GitLab中存在信息泄露漏洞。該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在運(yùn)行過程中存在配置等錯(cuò)誤。未授權(quán)的攻擊者可利用漏洞獲取受影響組件敏感信息。

漏洞編號(hào)：

CVE-2019-15583

影響范圍：

GitLab 12.1.11/12.2.5/12.3.1

修復(fù)建議：

更新對(duì)應(yīng)補(bǔ)丁

來源：CNVD

本文轉(zhuǎn)載自雷神眾測(cè)



【大中小】【打印】【關(guān)閉】【返回頂部】
分享到:
上一篇：CVE-2020-1938關(guān)于Apache Tomcat..	下一篇：關(guān)于Apache Tomcat存在文件包含漏..

国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成人综合亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

安全播報(bào)

聯(lián)系我們