?

?

?

?

?

?

?

安全漏洞周報(bào)

?

?

Palo Alto Networks GlobalProtect Agent存在未明漏洞

安科訊FDD-LTE一體化企業(yè)級(jí)基站存在拒絕服務(wù)漏洞

銳捷RSR系列路由器存在文件上傳漏洞

銳捷RSR系列路由器存在拒絕服務(wù)漏洞

Microsoft Win32k權(quán)限提升漏洞

Microsoft Windows ActiveX Installer Service權(quán)限提升漏洞

Microsoft Windows Network Driver Interface Specification信息泄露漏洞

Microsoft Word和Microsoft Outlook緩沖區(qū)溢出漏洞

Microsoft ChakraCore和Edge遠(yuǎn)程代碼執(zhí)行漏洞

?

?

?

?

?

?

Palo Alto Networks GlobalProtect Agent存在未明漏洞

?

CNVD-ID

CNVD-2020-28467

公開(kāi)日期

2020-05-17

危害級(jí)別

高 (AV:L/AC:L/Au:N/C:C/I:C/A:C)

影響產(chǎn)品

Palo Alto Networks Global Protect Agent 5.0，<5.0.8
? Palo Alto Networks Global Protect Agent 5.1，<5.1.1

CVE ID

CVE-2020-1989

漏洞描述

Palo Alto Networks GlobalProtect是美國(guó)Palo ? Alto Networks公司的一套網(wǎng)絡(luò)防護(hù)軟件。該軟件可提供防火墻監(jiān)控及威脅預(yù)防等功能。GlobalProtect ? Agent是其中的一個(gè)代理程序。
?
? Palo Alto Networks GlobalProtect Agent存在未明漏洞。本地攻擊者可利用該漏洞在系統(tǒng)上獲取root權(quán)限。

漏洞類(lèi)型

通用型漏洞

參考鏈接

https://nvd.nist.gov/vuln/detail/CVE-2020-1989

漏洞解決方案

廠商已發(fā)布了漏洞修復(fù)程序，請(qǐng)及時(shí)關(guān)注更新：
? https://security.paloaltonetworks.com/CVE-2020-1989

廠商補(bǔ)丁

Palo Alto ? Networks GlobalProtect Agent存在未明漏洞的補(bǔ)丁

驗(yàn)證信息

(暫無(wú)驗(yàn)證信息)

報(bào)送時(shí)間

2020-04-09

收錄時(shí)間

2020-05-17

更新時(shí)間

2020-05-17

?

安科訊FDD-LTE一體化企業(yè)級(jí)基站存在拒絕服務(wù)

?

?

CNVD-ID

CNVD-2020-28030

公開(kāi)日期

2020-05-16

危害級(jí)別

高 (AV:N/AC:L/Au:N/C:N/I:N/A:C)

影響產(chǎn)品

安科訊（福建）科技有限公司 FDD一體化企業(yè)級(jí)基站LNC-2011 V1.0

漏洞描述

LNC-2000/LNC-2011 TDD-LTE/FDD-LTE一體化企業(yè)級(jí)基站是安科訊開(kāi)發(fā)的一款面向中小企業(yè)市場(chǎng)毫微微蜂窩基站。
?
? 安科訊FDD-LTE一體化企業(yè)級(jí)基站存在拒絕服務(wù)漏洞，具有特定權(quán)限的遠(yuǎn)程攻擊者可利用該漏洞重啟基站，造成拒絕服務(wù)攻擊。

漏洞類(lèi)型

通用型漏洞

參考鏈接

漏洞解決方案

目前廠商尚未提供相關(guān)漏洞補(bǔ)丁鏈接，請(qǐng)關(guān)注廠商主頁(yè)隨時(shí)更新：
? http://www.anktion.com/

廠商補(bǔ)丁

安科訊FDD-LTE一體化企業(yè)級(jí)基站存在拒絕服務(wù)漏洞

驗(yàn)證信息

已驗(yàn)證

報(bào)送時(shí)間

2020-04-01

收錄時(shí)間

2020-05-13

更新時(shí)間

2020-05-13

?

?

銳捷RSR系列路由器存在文件上傳漏洞

?

CNVD-ID

CNVD-2020-28043

公開(kāi)日期

2020-05-16

危害級(jí)別

高 (AV:N/AC:L/Au:N/C:C/I:C/A:C)

影響產(chǎn)品

銳捷網(wǎng)絡(luò)股份有限公司 RG-RSR20-14E RGOS 10.4（3b34）p5 Release（224254）

漏洞描述

銳捷網(wǎng)絡(luò)股份有限公司是一家數(shù)據(jù)通信解決方案提供商。
?
? 銳捷RSR20系列路由器存在文件上傳漏洞，攻擊者可利用該漏洞上傳任意文件，獲取服務(wù)器管理員權(quán)限。

漏洞類(lèi)型

通用型漏洞

參考鏈接

漏洞解決方案

目前廠商尚未提供相關(guān)漏洞補(bǔ)丁鏈接，請(qǐng)關(guān)注廠商主頁(yè)隨時(shí)更新：
? http://www.ruijie.com.cn/

廠商補(bǔ)丁

銳捷RSR系列路由器存在文件上傳漏洞

驗(yàn)證信息

已驗(yàn)證

報(bào)送時(shí)間

2020-04-01

收錄時(shí)間

2020-05-13

更新時(shí)間

2020-05-13

·?????? ?

?

銳捷RSR系列路由器存在拒絕服務(wù)漏洞

?

?

CNVD-ID

CNVD-2020-28044

公開(kāi)日期

2020-05-16

危害級(jí)別

高 (AV:N/AC:L/Au:N/C:N/I:N/A:C)

影響產(chǎn)品

銳捷網(wǎng)絡(luò)股份有限公司 RG-RSR20-14E RGOS 10.4（3b34）p5 Release（224254）

漏洞描述

銳捷網(wǎng)絡(luò)股份有限公司是一家數(shù)據(jù)通信解決方案提供商。
?
? 銳捷RSR20系列路由器存在拒絕服務(wù)漏洞，攻擊者可利用該漏洞導(dǎo)致OSPF/BGP等路由協(xié)議進(jìn)程重啟過(guò)程中協(xié)議斷鏈，造成拒絕服務(wù)攻擊。

漏洞類(lèi)型

通用型漏洞

參考鏈接

漏洞解決方案

目前廠商尚未提供相關(guān)漏洞補(bǔ)丁鏈接，請(qǐng)關(guān)注廠商主頁(yè)隨時(shí)更新：
? http://www.ruijie.com.cn/

廠商補(bǔ)丁

銳捷RSR系列路由器存在拒絕服務(wù)漏洞

驗(yàn)證信息

已驗(yàn)證

報(bào)送時(shí)間

2020-04-01

收錄時(shí)間

2020-05-13

更新時(shí)間

2020-05-13

?

Microsoft Win32k權(quán)限提升漏洞（CNVD-2020-28432）

?

?

CNVD-ID

CNVD-2020-28432

公開(kāi)日期

2020-05-15

危害級(jí)別

高 (AV:L/AC:L/Au:N/C:C/I:C/A:C)

影響產(chǎn)品

Microsoft Windows 7 SP1
? Microsoft Windows 8.1
? Microsoft Windows RT 8.1 SP0
? Microsoft Windows Server 2012 R2
? Microsoft Windows 10 1607
? Microsoft Windows Server 2016
? Microsoft Windows Server 2012
? Microsoft Windows 10
? Microsoft Windows Server 2008 R2 SP1
? Microsoft Windows Server 2008 SP2
? Microsoft Windows Server 1803
? Microsoft Windows Server 2019
? Microsoft Windows 10 1809
? Microsoft Windows Server 1903
? Microsoft Windows 10 1709
? Microsoft Windows 10 1809
? Microsoft Windows 10 1903
? Microsoft Windows Server 1909
? Microsoft Windows 10 1909

CVE ID

CVE-2020-1054

漏洞描述

Microsoft Windows和Microsoft ? Windows Server都是美國(guó)微軟（Microsoft）公司的產(chǎn)品。Microsoft Windows是一套個(gè)人設(shè)備使用的操作系統(tǒng)。Microsoft ? Windows Server是一套服務(wù)器操作系統(tǒng)。win32k是其中的一個(gè)Windows子系統(tǒng)的內(nèi)核部分，是一個(gè)內(nèi)核模式設(shè)備驅(qū)動(dòng)程序，它包含有窗口管理器、后臺(tái)控制窗口和屏幕輸出管理等。
?
? Microsoft Windows中存在權(quán)限提升漏洞，該漏洞源于內(nèi)核模式驅(qū)動(dòng)程序未能正確處理內(nèi)存對(duì)象。攻擊者可通過(guò)登錄到系統(tǒng)并運(yùn)行特制的應(yīng)用程序利用該漏洞在內(nèi)核模式中運(yùn)行任意代碼。

漏洞類(lèi)型

通用型漏洞

參考鏈接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1054

漏洞解決方案

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：
? https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1054

廠商補(bǔ)丁

Microsoft ? Win32k權(quán)限提升漏洞（CNVD-2020-28432）的補(bǔ)丁

驗(yàn)證信息

(暫無(wú)驗(yàn)證信息)

報(bào)送時(shí)間

2020-05-13

收錄時(shí)間

2020-05-15

更新時(shí)間

2020-05-15

?

?

Microsoft Windows ActiveX Installer Service權(quán)限提升漏洞

?

?

CNVD-ID

CNVD-2020-28436

公開(kāi)日期

2020-05-15

危害級(jí)別

高 (AV:L/AC:L/Au:N/C:C/I:C/A:C)

影響產(chǎn)品

Microsoft Windows 7 SP1
? Microsoft Windows 8.1
? Microsoft Windows RT 8.1 SP0
? Microsoft Windows Server 2012 R2
? Microsoft Windows 10 1607
? Microsoft Windows Server 2016
? Microsoft Windows Server 2012
? Microsoft Windows 10 1709
? Microsoft Windows 10
? Microsoft Windows 10
? Microsoft Windows Server 2008 R2 SP1
? Microsoft Windows Server 1803
? Microsoft Windows Server 2019
? Microsoft Windows Server 1903
? Microsoft Windows 10 1803
? Microsoft Windows 10 1809
? Microsoft Windows 10 1903
? Microsoft Windows Server 1909
? Microsoft Windows 10 1909

CVE ID

CVE-2020-0860

漏洞描述

Microsoft Windows和Microsoft ? Windows Server都是美國(guó)微軟（Microsoft）公司的產(chǎn)品。Microsoft Windows是一套個(gè)人設(shè)備使用的操作系統(tǒng)。Microsoft ? Windows Server是一套服務(wù)器操作系統(tǒng)。ActiveX Installer Service是其中的一個(gè)ActiveX安裝程序服務(wù)。
?
? Microsoft Windows ActiveX Installer Service中存在權(quán)限提升漏洞，該漏洞源于該服務(wù)未能正確地處理內(nèi)存。攻擊者可通過(guò)在用戶系統(tǒng)上獲取執(zhí)行權(quán)限并運(yùn)行特制的應(yīng)用程序利用該漏洞提升權(quán)限。

漏洞類(lèi)型

通用型漏洞

參考鏈接

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0860

漏洞解決方案

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：
? https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0860

廠商補(bǔ)丁

Microsoft ? Windows ActiveX Installer Service權(quán)限提升漏洞的補(bǔ)丁

驗(yàn)證信息

(暫無(wú)驗(yàn)證信息)

報(bào)送時(shí)間

2020-03-13

收錄時(shí)間

2020-05-15

更新時(shí)間

2020-05-15

Microsoft Windows Network Driver Interface Specification信息泄露漏洞

?

?

CNVD-ID

CNVD-2020-28440

公開(kāi)日期

2020-05-15

危害級(jí)別

高 (AV:L/AC:L/Au:N/C:C/I:C/A:C)

影響產(chǎn)品

Microsoft Windows 8.1
? Microsoft Windows RT 8.1 SP0
? Microsoft Windows Server 2012 R2
? Microsoft Windows 10 1607
? Microsoft Windows Server 2016
? Microsoft Windows 10
? Microsoft Windows Server 1803
? Microsoft Windows Server 2019
? Microsoft Windows Server 1903
? Microsoft Windows 10 1709
? Microsoft Windows 10 1803
? Microsoft Windows 10 1809
? Microsoft Windows 10 1903
? Microsoft Windows Server 1909
? Microsoft Windows 10 1909

CVE ID

CVE-2020-0861

漏洞描述

Microsoft Windows和Microsoft ? Windows Server都是美國(guó)微軟（Microsoft）公司的產(chǎn)品。Microsoft Windows是一套個(gè)人設(shè)備使用的操作系統(tǒng)。Microsoft ? Windows Server是一套服務(wù)器操作系統(tǒng)。Windows Network Driver ? Interface Specification（NDIS）是其中的一個(gè)網(wǎng)絡(luò)驅(qū)動(dòng)程序接口規(guī)范。
?
? Microsoft Windows Network Driver Interface Specification存在信息泄露漏洞。攻擊者可利用漏洞泄露內(nèi)核內(nèi)存。

漏洞類(lèi)型

通用型漏洞

參考鏈接

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0861

漏洞解決方案

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：
? https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0861

廠商補(bǔ)丁

Microsoft Windows Network Driver Interface Specification信息泄露漏洞（CNVD-2020-28440）的補(bǔ)丁

驗(yàn)證信息

(暫無(wú)驗(yàn)證信息)

報(bào)送時(shí)間

2020-03-12

收錄時(shí)間

2020-05-15

更新時(shí)間

2020-05-15

Microsoft Word和Microsoft Outlook緩沖區(qū)溢出漏洞

?

?

CNVD-ID

CNVD-2020-28443

公開(kāi)日期

2020-05-15

危害級(jí)別

高 (AV:N/AC:M/Au:N/C:C/I:C/A:C)

影響產(chǎn)品

Microsoft Office Online Server
? Microsoft Office 2016 for Mac
? Microsoft Office 2019
? Microsoft SharePoint Server 2019

CVE ID

CVE-2020-0852

漏洞描述

Microsoft Word和Microsoft ? Outlook都是美國(guó)微軟（Microsoft）公司的產(chǎn)品。Microsoft Word是一套Office套件中的文字處理軟件。Microsoft Outlook是一套電子郵件應(yīng)用程序。
?
? Microsoft Word和Microsoft Outlook存在安全漏洞。攻擊者可利用漏洞使用特制文件在當(dāng)前用戶的安全上下文中執(zhí)行操作。

漏洞類(lèi)型

通用型漏洞

參考鏈接

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0852

漏洞解決方案

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：
? https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0852

廠商補(bǔ)丁

Microsoft Word和Microsoft Outlook緩沖區(qū)溢出漏洞的補(bǔ)丁

驗(yàn)證信息

(暫無(wú)驗(yàn)證信息)

報(bào)送時(shí)間

2020-03-12

收錄時(shí)間

2020-05-15

更新時(shí)間

2020-05-15

?

Microsoft ChakraCore和Edge遠(yuǎn)程代碼執(zhí)行漏洞

?

?

CNVD-ID

CNVD-2020-28238

公開(kāi)日期

2020-05-14

危害級(jí)別

高 (AV:N/AC:H/Au:N/C:C/I:C/A:C)

影響產(chǎn)品

Microsoft ChakraCore
? Microsoft Edge

CVE ID

CVE-2020-0970

漏洞描述

Microsoft ChakraCore和Microsoft ? Edge都是美國(guó)微軟（Microsoft）公司的產(chǎn)品。ChakraCore是使用在Edge瀏覽器中的一個(gè)開(kāi)源的ChakraJavaScript腳本引擎的核心部分，也可作為單獨(dú)的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系統(tǒng)附帶的Web瀏覽器。
?
? Microsoft Edge (EdgeHTML-based)和ChakraCore中存在遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞源于程序未能正確地處理內(nèi)存中的對(duì)象。攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼，損壞內(nèi)存。

漏洞類(lèi)型

通用型漏洞

參考鏈接

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0970

漏洞解決方案

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：
? https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0970

廠商補(bǔ)丁

Microsoft ? ChakraCore和Edge遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2020-28238）的補(bǔ)丁

驗(yàn)證信息

(暫無(wú)驗(yàn)證信息)

報(bào)送時(shí)間

2020-04-16

收錄時(shí)間

2020-05-14

更新時(shí)間

2020-05-14

?

?

?

?

?

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

HXnetwork----你的私人網(wǎng)絡(luò)安全通報(bào)中心！

資料來(lái)源網(wǎng)絡(luò)，HXnetwork整理；希望對(duì)你有所幫助！

?

?

?