网易首页 > 网易号 > 正文 申请入驻

物联安全·鲲鹏先知【第19期】

0
分享至


2021.5.7 • 农历3月26日 • 周五

这周的物联网圈子

有哪些值得关注的事情呢?

鲲鹏实验室带你回顾下

01

IoT智能设备漏洞

H3C多款MSR系列路由器弱口令漏洞

影响产品:H3C MSR系列路由器

漏洞类型:弱口令漏洞

MSR系列路由器是新华三技术有限公司的一款企业级路由器。

H3C多款MSR系列路由器存在弱口令漏洞,攻击者可利用该漏洞获取敏感信息。

影响范围:

H3C MSR3600路由器

H3C MSR830-6BHI路由器

H3C MSR830-6BEI路由器

H3C MSR810路由器

H3C MSR36-20路由器

H3C MSR3610路由器

CPE-WiFi存在命令执行漏洞

影响产品:

北京格林伟迪科技股份有限公司CPE-WiFi

漏洞类型:命令执行漏洞

北京格林伟迪科技股份有限公司是一家专业从事边缘网光传输和综合接入设备设计开发、生产制造和营销服务的高科技企业。

北京格林伟迪科技股份有限公司CPE-WiFi存在命令执行漏洞,攻击者可利用该漏洞执行系统命令,获取系统权限。

影响范围:

CPE-WiFi V2.0(硬件版本)/V2.0.5-X000(软件版本)

TP-Link路由器存在缓冲区溢出漏洞

影响产品:TP-LINK TL-WDR8500 1.0.6

漏洞类型:

缓冲区溢出漏洞

TL-WDR8500是TP-LINK一款路由器产品。

TP-Link路由器存在缓冲区溢出漏洞,攻击者可利用该漏洞获取服务器控制权。

影响产品:

TP-LINK TL-WDR8500 1.0.6

吉祥腾达科技11AC 1200MBPS无线面板式AP命令执行漏洞

影响产品:

深圳市吉祥腾达科技有限公司 11AC 1200MBPS无线面板式AP

漏洞类型:命令执行漏洞

深圳市吉祥腾达科技有限公司是一家集自主研发、生产和销售网络设备的高科技企业。

深圳市吉祥腾达科技有限公司11AC 1200MBPS无线面板式AP存在命令执行漏洞,攻击者可利用该漏洞执行系统命令。

影响产品:

1200MBPS无线面板式AP V1.0.0.7

02

其他热门漏洞

NO.1

SaltStack 命令注入漏洞

漏洞编号:CVE-2021-31607

Saltstack SaltStack Salt是SaltStack(Saltstack)公司的一套开源的用于管理基础架构的工具。该工具提供配置管理、远程执行等功能。

当快照程序模块在快照和当前状态之间进行区分时,它首先使用file命令检查每个文件以查看它是否是文本文件。但是由于文件名是直接传递给文件名的os.popen,因此任何能够创建文件的人都容易滥用该文件名。

影响版本:

SaltStack Salt >2016.9

SaltStack Salt <3002.6)

NO.2

VMware vRealize Business for Cloud远程代码执行漏洞

漏洞编号:CVE-2021-21984

vRealize Business for Cloud是一种自动化的云业务管理解决方案,旨在为IT团队提供云规划,预算和成本分析工具。

攻击者可以未授权访问管理界面(VAMI)的升级API来利用此漏洞,可造成远程代码执行。

影响版本:

vRealize Business for Cloud: <7.6.0

NO.3

TYPO3 Dynamic Content Element SQL注入漏洞

漏洞编号:CVE-2021-31777

TYPO3 Dynamic Content Element是瑞士TYPO3公司的一个手机应用软件。提供TCA映射功能,简单的后端视图。

Dynamic Content Elements 存在SQL注入漏洞,该漏洞源于对用户提供的数据的无害化处理不足。

影响版本:

Dynamic Content Elements:2.2.0,

Dynamic Content Elements:2.2.1,

Dynamic Content Elements:2.3.0,

Dynamic Content Elements:2.3.1,

Dynamic Content Elements:2.4.0,

Dynamic Content Elements:2.4.1,

Dynamic Content Elements:2.5.0,

Dynamic Content Elements:2.5.1,

Dynamic Content Elements:2.5.2,

Dynamic Content Elements:2.6.0,

Dynamic Content Elements:2.6.1,

Dynamic Content Elements:2.7.0 。

NO.4

Samba 缓冲区错误漏洞

漏洞编号:CVE-2021-20254

Samba是Samba团队的一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件。该软件支持共享打印机、互相传输资料文件等。

Samba 存在缓冲区错误漏洞,该漏洞源于在将Windows组标识(sid)映射到unix组标识(gid)时存在边界条件,这导致在Samba服务器进程令牌中创建负面的idmap缓存项。

影响版本:

Samba:3.6.0, 3.6.1, 3.6.2, 3.6.3, 3.6.4, 3.6.5, 3.6.6, 3.6.7, 3.6.8, 3.6.9, 3.6.10, 3.6.11, 3.6.12, 3.6.13, 3.6.14, 3.6.15, 3.6.16, 3.6.17, 3.6.18, 3.6.19, 3.6.20, 3.6.21, 3.6.22, 3.6.23, 3.6.24, 3.6.25, 4.0.0, 4.0.1, 4.0.2, 4.0.3, 4.0.4, 4.0.5, 4.0.6, 4.0.7, 4.0.8, 4.0.9, 4.0.10, 4.0.11, 4.0.12, 4.0.13, 4.0.14, 4.0.15, 4.0.16, 4.0.17, 4.0.18, 4.0.19, 4.0.20, 4.0.21, 4.0.22, 4.0.23, 4.0.24, 4.0.25, 4.0.26, 4.1.0, 4.1.1, 4.1.2, 4.1.3, 4.1.4, 4.1.5, 4.1.6, 4.1.7, 4.1.8, 4.1.9, 4.1.10, 4.1.11, 4.1.12, 4.1.13, 4.1.14, 4.1.15, 4.1.16, 4.1.17, 4.1.18, 4.1.19, 4.1.20, 4.1.21, 4.1.22, 4.1.23, 4.2.0, 4.2.1, 4.2.2, 4.2.3, 4.2.4, 4.2.5, 4.2.6, 4.2.7, 4.2.8, 4.2.9, 4.2.10, 4.2.11, 4.2.12, 4.2.13, 4.2.14, 4.3.0, 4.3.1, 4.3.2, 4.3.3, 4.3.4, 4.3.5, 4.3.6, 4.3.7, 4.3.8, 4.3.9, 4.3.10, 4.3.11, 4.3.12, 4.3.13,4.4

03

安全事件

01

物联网设备中的BadAlloc漏洞

微软安全团队的研究人员最近发现了一些严重的内存分配漏洞,这些漏洞统称为BadAlloc,可影响IoT和OT设备。攻击者可能利用此漏洞绕过安全控制来执行恶意代码或触发DoS条件。专家们发现了25多个RCE漏洞,这些漏洞可能会影响从消费者和医疗物联网到工业物联网,运营技术(OT)和工业控制系统的广泛领域。完整的漏洞列表可在美国国土安全部发布的公告(ICSA-21-119-04)中找到。亚马逊,ARM,Cesanta,谷歌云,三星和腾讯出售的IoT/OT设备以及许多其他开源产品均受到影响。

物联安全·鲲鹏先知(第18期)

天防安全被授予“OASES成员单位”证书

天防安全为雪亮工程“全程可控”护航

天防安全受邀参展IOTE 2021,视频监控网络安全解决方案惊艳亮相





特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
售价近70万!曝苹果最大新品已投产 确实不一般

售价近70万!曝苹果最大新品已投产 确实不一般

中关村在线
2022-05-16 12:09:23
俄空天军价值3.4亿的苏-34战斗机被击落后,被做成卖6千的钥匙扣

俄空天军价值3.4亿的苏-34战斗机被击落后,被做成卖6千的钥匙扣

航空之家Aviation
2022-05-16 09:14:42
罗永浩:债还没还完,有60多万存款在冻结状态,还挺开心的

罗永浩:债还没还完,有60多万存款在冻结状态,还挺开心的

AI财经社
2022-05-16 11:09:19
亚速钢铁厂没有大人物?俄罗斯说出真相:实验室主导者是“大鱼”

亚速钢铁厂没有大人物?俄罗斯说出真相:实验室主导者是“大鱼”

铁血观世界
2022-05-16 17:11:59
谁在操弄青麦苗提前收割买卖?

谁在操弄青麦苗提前收割买卖?

感情路
2022-05-16 07:20:48
辽宁一90斤大狗未拴绳,主人眼看它将过路女子扑倒,腿上咬出大洞

辽宁一90斤大狗未拴绳,主人眼看它将过路女子扑倒,腿上咬出大洞

旧约影馆
2022-05-15 12:17:44
辽宁舰最大的缺点是什么?总设计师一语中的,我国至今仍无法解决

辽宁舰最大的缺点是什么?总设计师一语中的,我国至今仍无法解决

人间惊鸿客
2022-05-16 12:09:48
不要做空乘中的“老鼠屎”

不要做空乘中的“老鼠屎”

四只小鹿
2022-05-16 12:52:01
大妈卖掉东北8套房,在上海买了一套1000多万的房子,事后哭了

大妈卖掉东北8套房,在上海买了一套1000多万的房子,事后哭了

美女姐姐嘚吧嘚
2022-05-16 12:11:01
蔡英文这下失算了,蒋介石曾孙突然出山,放出一句话引发岛内震动

蔡英文这下失算了,蒋介石曾孙突然出山,放出一句话引发岛内震动

海峡军志
2022-05-16 18:00:02
伊拉克“战忽局局长”萨哈夫:连骂美国20天,战败后结局如何?

伊拉克“战忽局局长”萨哈夫:连骂美国20天,战败后结局如何?

来不及了
2022-05-16 06:01:53
已发现17管混管阳性!天津周日主动“大筛”,市委书记专程调度

已发现17管混管阳性!天津周日主动“大筛”,市委书记专程调度

政知新媒体
2022-05-16 15:34:52
女子全身赤裸在街上自拍,只为报复出轨的男友,网友:作践自己

女子全身赤裸在街上自拍,只为报复出轨的男友,网友:作践自己

德斯手工
2022-05-16 10:46:55
上海一HR:被封在家里61天,收到公司邮件,4月工资要打五折

上海一HR:被封在家里61天,收到公司邮件,4月工资要打五折

职场冷知识讲堂
2022-05-15 19:54:56
恶报终于到了!美西方借俄乌冲突转嫁危机,没想是到引火烧身

恶报终于到了!美西方借俄乌冲突转嫁危机,没想是到引火烧身

哨所
2022-05-16 14:15:50
乌已收复哈州大部,在扎赫两州得手并中心开花,俄在亚速用白磷弹

乌已收复哈州大部,在扎赫两州得手并中心开花,俄在亚速用白磷弹

邵旭峰军事国际文化纵横
2022-05-16 18:06:09
大范围大雨暴雨再对准南方,倒夏寒还要继续?权威预报:局部更大

大范围大雨暴雨再对准南方,倒夏寒还要继续?权威预报:局部更大

中国气象爱好者
2022-05-16 18:30:02
恒大一楼盘不买车位就不交房?当地住建局:属实!许家印曾表示“没有销售就不可能还清债务”

恒大一楼盘不买车位就不交房?当地住建局:属实!许家印曾表示“没有销售就不可能还清债务”

每日经济新闻
2022-05-15 00:11:26
反诈老陈进剧组拍戏,跪在主演旁,称演戏不好玩,网友:小丑一枚

反诈老陈进剧组拍戏,跪在主演旁,称演戏不好玩,网友:小丑一枚

娱乐圈无国界
2022-05-15 20:56:03
300元一位,累计接诊7.1万人,这个网络医生靠健康咨询入账2100万

300元一位,累计接诊7.1万人,这个网络医生靠健康咨询入账2100万

美女姐姐嘚吧嘚
2022-05-16 11:25:16
2022-05-16 20:16:49
天防安全
天防安全
物联网安全的创新者和守护者
67文章数 0关注度
往期回顾 全部

科技要闻

3000亿美元估值,如今不到50亿?咋了!

头条要闻

乌军已转守为攻?俄军主动从重镇哈尔科夫后撤

头条要闻

乌军已转守为攻?俄军主动从重镇哈尔科夫后撤

体育要闻

恐怖28连胜!她靠秘密武器比肩巅峰小威

娱乐要闻

韩国女神与速滑选手热恋四个月就结婚

财经要闻

汽车要闻

巅峰回击 梅赛德斯-奔驰EQS定义纯电新旗舰?

态度原创

艺术
教育
时尚
手机
健康

艺术要闻

展示荆楚千年文脉,湖北考古博物馆开放在即

教育要闻

1000万人都在用的报考神器,赢在2022年的夏天!

夏日法式时髦 跟时尚博主学会这3个穿搭公式

手机要闻

一部苹果 iPhone 的奇幻之旅:经历三次跨洋旅行最终与主人团聚

揭秘打呼噜和肥胖的关系

进入关怀模式