绿盟科技技术博客 – 第 135 页

刚刚，绿盟云针对Apache Tomcat文件包含漏洞的在线检测正式上线

2020-02-21绿盟科技CNVD-2020, CVE-2020-1938, NSFOCUS

2月20日，国家信息安全漏洞共享平台（CNVD）发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告（CNVD-2020-10487，对应CVE-2020-1938）。绿盟科技安全研究团队第一时间对此次漏洞进行研究，并紧急上线了在线检测工具。

【威胁通告】Apache Tomcat 文件包含漏洞（CVE-2020-1938）

2020-02-20绿盟科技CVE-2020-1938, Tomcat, 漏洞

2月20日，国家信息安全漏洞共享平台（CNVD）发布了Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。该漏洞是由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能，攻击者可进一步实现远程代码执行。目前，厂商已发布新版本完成漏洞修复。

RSA 创新沙盒盘点| Sqreen——WAF和RASP综合解决方案

2020-02-20张胜军RASP, RSA, Sqreen, WAF, 沙盒

2020年2月24日-28日，网络安全行业盛会RSA Conference将在旧金山拉开帷幕。前不久，RSAC官方宣布了最终入选今年的创新沙盒十强初创公司：AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。

绿盟科技威胁情报周报-2020年第7周（2020.2.10-2020.2.16）

2020-02-18绿盟科技NSFOCUS, 周报, 威胁情报

【威胁通告】微软SQL Server Reporting Services远程代码执行漏洞(CVE-2020-0618)

2020-02-17绿盟科技CVE-2020-0618, Microsoft, 微软, 漏洞, 远程代码执行

在上周发布的微软月度更新中，包含一个存在于SQL Server Reporting Services（SSRS）中的远程代码执行漏洞CVE-2020-0618。目前已存在针对该漏洞的 PoC，请相关用户尽快安装补丁进行防护。

【威胁通告】Apache Dubbo反序列化漏洞(CVE-2019-17564) 威胁通告

2020-02-13绿盟科技Appache, 反序列化漏洞

近日，Chekmarx团队的研究人员发现并公布了Apache Dubbo中存在的一个反序列化漏洞（CVE-2019-17564）。

Apache Dubbo 是一款高性能Java RPC框架。当在Dubbo应用中启用了HTTP协议进行通信时存在该漏洞，攻击者可能提交一个包含Java对象的POST请求来完全破坏Apache Dubbo的提供者实例。

微软更新多个产品高危漏洞威胁通告

2020-02-13绿盟科技微软, 微软漏洞

北京时间2月12日，微软发布2月安全更新补丁，修复了100个安全问题，涉及Internet Explorer、Microsoft Edge、Microsoft Exchange Server、Microsoft Office等广泛使用的产品，其中包括提权和远程代码执行等高危漏洞。

Django SQL注入漏洞（CVE-2020-7471）威胁通告

2020-02-13绿盟科技django, python django, sql注入漏洞

2月3日，Django 官方发布安全通告公布了一个通过StringAgg（分隔符）实现利用的潜在SQL注入漏洞（CVE-2020-7471）。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg，从而绕过转义并注入恶意SQL语句。

【威胁通告】Django SQL注入漏洞(CVE-2020-7471)

2020-02-12绿盟科技CVE-2020-7471, django, SQL注入, 漏洞

近日，Django 官方发布安全通告公布了一个通过StringAgg（分隔符）的潜在SQL注入漏洞（CVE-2020-7471）。

如果将不受信任的数据用作StringAgg分隔符，则部分版本的 Django将允许SQL注入。

通过将精心设计的分隔符传递给contrib.postgres.aggregates.StringAgg实例，可以打破转义并注入恶意SQL。

目前已存在针对该漏洞的 PoC。

135