国产2020精品视频免费播放,久久看久久做久久精品,欧美日韩精品视频一区二区,chinese fuck xxxx hd

01漏洞描述

以色列網(wǎng)絡(luò)安全公司JSOF的研究人員在Treck，Inc.開發(fā)的TCP/IP軟件庫中發(fā)現(xiàn)了19個不同嚴重程度的安全漏洞，19個安全漏洞中存在0DAY漏洞，這一系列漏洞統(tǒng)稱為“Ripple20”。估計全球數(shù)億臺（甚至更多）IoT設(shè)備可能會受到遠程攻擊。

02漏洞詳情

Ripple20影響了來自廣泛領(lǐng)域的關(guān)鍵物聯(lián)網(wǎng)設(shè)備，涉及了眾多供應(yīng)商。受影響的供應(yīng)商范圍很廣，包括HP、Schneider Electric、Intel、Rockwell Automation、Caterpillar、Baxter以及許多其他在醫(yī)療、運輸、工業(yè)控制方面的主要國際供應(yīng)商、企業(yè)、能源（石油/天然氣）、電信、零售和商業(yè)以及其他行業(yè)。

具體漏洞列表如下：

CVE-2020-11896：可以通過將多個格式錯誤的IPv4數(shù)據(jù)包發(fā)送到支持IPv4隧道的設(shè)備來觸發(fā)此漏洞。它會影響使用特定配置運行Treck的所有設(shè)備，可以實現(xiàn)穩(wěn)定的遠程代碼執(zhí)行

修復(fù)版本：6.0.1.66(release 30/03/2020)

CVE-2020-11897：可以通過向設(shè)備發(fā)送多個格式錯誤的IPv6數(shù)據(jù)包來觸發(fā)此漏洞。它會影響任何運行舊版支持IPv6的Treck的設(shè)備，先前已進行了修復(fù)。它可能潛在地允許穩(wěn)定的遠程代碼執(zhí)行

修復(fù)版本：5.0.1.35(release 04/06/2009)

CVE-2020-11901：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，DNS解析器組件中的輸入驗證不正確。該漏洞可能導致遠程執(zhí)行代碼。

修復(fù)版本：6.0.1.66(release 30/03/2020)

CVE-2020-11898：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，對IPv4 / ICMPv4組件中的長度參數(shù)不一致的處理不當。該漏洞可能導致敏感信息暴露。

修復(fù)版本：6.0.1.66(release 30/03/2020)

CVE-2020-11900：處理網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，IPv4隧道組件中可能存在雙重釋放。該漏洞可能導致Use After Free。

修復(fù)版本：6.0.1.41(release 10/15/2014)

CVE-2020-11902：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，IPv6OverIPv4隧道組件中的輸入驗證不正確。該漏洞可能導致越界讀取。

修復(fù)版本：6.0.1.66(release 03/03/20)

CVE-2020-11904：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，內(nèi)存分配組件中可能存在整數(shù)溢出。該漏洞可能導致越界寫入。

修復(fù)版本：6.0.1.66(release 03/03/20)

CVE-2020-11899：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，IPv6組件中的輸入驗證不正確。該漏洞可能導致越界讀取或拒絕服務(wù)。

修復(fù)版本：6.0.1.66(release 03/03/20)

CVE-2020-11903：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，DHCP組件中存在越界讀取問題。該漏洞可能導致敏感信息泄露。

修復(fù)版本：6.0.1.28(release 10/10/12)

CVE-2020-11905：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，DHCPv6組件中存在越界讀取問題。該漏洞可能導致敏感信息泄露。

修復(fù)版本：6.0.1.66(release 03/03/20)

CVE-2020-11906：在處理未經(jīng)授權(quán)用戶發(fā)送的數(shù)據(jù)包時，以太網(wǎng)鏈路層組件中輸入驗證不正確。該漏洞可能導致整數(shù)溢出。

修復(fù)版本：6.0.1.66(release 03/03/20)

CVE-2020-11907：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，TCP組件中對參數(shù)長度不一致的處理不當。該漏洞可能導致整數(shù)溢出。

修復(fù)版本：6.0.1.66(release 03/03/20)

CVE-2020-11909：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，IPv4組件中的輸入驗證不正確。該漏洞可能導致整數(shù)溢出。

修復(fù)版本：6.0.1.66(release 03/03/20)

CVE-2020-11910：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，ICMPv4組件中的輸入驗證不正確。該漏洞可能導致越界讀取。

修復(fù)版本：6.0.1.66(release 03/03/20)

CVE-2020-11911：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，ICMPv4組件中的訪問控制不正確。該漏洞可能導致關(guān)鍵資源的權(quán)限分配錯誤。

修復(fù)版本：6.0.1.66(release 03/03/20)

CVE-2020-11912：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，TCP組件中的輸入驗證不正確。該漏洞可能導致越界讀取。

修復(fù)版本：6.0.1.66(release 03/03/20)

CVE-2020-11913：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，IPv6組件中的輸入驗證不正確。該漏洞可能導致越界讀取。

修復(fù)版本：6.0.1.66(release 03/03/20)

CVE-2020-11914：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，ARP組件中的輸入驗證不正確。該漏洞可能導致越界讀取。

修復(fù)版本：6.0.1.66(release 03/03/20)

CVE-2020-11908：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，DHCP組件中的Null Termination不正確。該漏洞可能導致敏感信息泄露。

修復(fù)版本：4.7.1.27(release 11/08/07)

03風險場景

潛在的風險場景包括：

l 如果面向互聯(lián)網(wǎng)，則來自網(wǎng)絡(luò)外部的攻擊者將控制網(wǎng)絡(luò)中的設(shè)備；

l 已經(jīng)設(shè)法滲透到網(wǎng)絡(luò)的攻擊者可以使用庫漏洞來針對網(wǎng)絡(luò)中的特定設(shè)備；

l 攻擊者可以廣播能夠同時接管網(wǎng)絡(luò)中所有受影響設(shè)備的攻擊；

l 攻擊者可能利用受影響的設(shè)備隱藏在內(nèi)網(wǎng)中；

l 復(fù)雜的攻擊者可能會從網(wǎng)絡(luò)邊界外部對網(wǎng)絡(luò)內(nèi)的設(shè)備進行攻擊，從而繞過任何NAT配置。這可以通過執(zhí)行MITM攻擊或dns緩存中毒來完成；

l 在某些情況下，攻擊者可能能夠通過響應(yīng)離開網(wǎng)絡(luò)邊界的數(shù)據(jù)包，繞過NAT，從網(wǎng)絡(luò)外部執(zhí)行攻擊；

l 所有情況下，攻擊者都可以遠程控制目標設(shè)備，而無需用戶干預(yù)。

04緩解措施

1) 最大限度地減少嵌入式和關(guān)鍵設(shè)備的網(wǎng)絡(luò)暴露，并確保無法從Internet訪問；

2) 定位防火墻防護的OT網(wǎng)絡(luò)和設(shè)備，并將其與業(yè)務(wù)網(wǎng)絡(luò)隔離；

3) 僅啟用安全的遠程訪問方法，建議使用虛擬專用網(wǎng)絡(luò)（VPN）。

4) 阻止異常IP流量；

5) 通過深度數(shù)據(jù)包檢查來阻止網(wǎng)絡(luò)攻擊，以降低Treck嵌入式啟用TCP/ IP的設(shè)備的風險。

05受影響產(chǎn)品

部分廠商已公開受影響產(chǎn)品名稱及型號，并提供相應(yīng)補丁。具體如下：

思科

參考地址: 

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-treck-ip-stack-JyBQ5GyC

HP和三星打印產(chǎn)品

參考地址：https://support.hp.com/us-en/document/c06640149

HP Laser，HP LaserJet Pro，HP Neverstop Laser，Samsung proXpress，Samsung MultiXpress

HP DeskJet，HP OfficeJet，HP OfficeJet Pro，HP墨水盒，HP Smart Tank

以下為更新的受影響的廠商

Aruba Networks(安移通)

參考地址：

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2020-006.txt

•  5400/5400R series

•  3810

•  3800

•  3500

•  2930M

•  2930F

•  2920

•  2915

•  2620

•  2615

•  2540

•  2530YA

•  2530YB

•  HP 8200

•  HP 6600

• HP 6200-24G-mGBIC (note: This is not the Aruba CX 6200 series)

B. Braun（貝朗醫(yī)療）

參考地址：

https://www.bbraunusa.com/content/dam/b-braun/us/website/customer_communications/Skyline%20Response_Outlook_6.9.2020_FINAL1.pdf

Outlook 400ES infusion pump

CareStream（銳珂醫(yī)療）

參考地址：

https://www.carestream.com/en/us/services-and-support/cybersecurity-and-privacy

Diagnostic Imaging Systems

Digital Printers

MyView Center Kiosk products

Caterpillar（卡特彼勒）

參考地址：

https://www.us-cert.gov/ics/advisories/icsa-20-168-01

無具體產(chǎn)品統(tǒng)計

Digi International

參考地址：

https://www.digi.com/resources/security

Digi Connect® ME, Digi Connect® EM, Digi Connect® WME, Digi Connect® SP, and Digi Connect® ES; Digi Connect® 9C, Digi Connect® 9P;

Digi ConnectPort® TS, Digi ConnectPort® X2, Digi ConnectPort® X4;

Digi AnywhereUSB® (First and Second Gen, NOT Plus);

NetSilicon 7250, 9210, 9215, 9360, 9750;

Any products using the NET+OS 7.X development environments.

Eaton（伊頓）

參考地址：

https://www.eaton.com/content/dam/eaton/company/news-insights/cybersecurity/security-bulletins/eaton-security-bulletin-treck-tcp-ip-stack-vulnerabilities-ripple20.pdf

CL-7 voltage regulator control

Form 4D recloser control

Form 6 recloser control

Edison Idea and IdeaPLUS relays (all variants)

Metered Input Power Distribution Units

Metered Outlet Power Distribution Units

Managed Power Distribution Units

High Density Power Distribution Units

Green Hills Software

參考地址：

https://support.ghs.com/psirt/PSA-2020-05/

GHnet v

Hewlett Packard Enterprise

參考地址：

https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbhf03999en_us

HPE ProLiant MicroServer Gen10 Plus - Prior to SPS 05.01.04.113(8 Jun 2020) - CVE-2020-0545 and CVE-2020-0586

HPE ProLiant DL20 Gen10 Server - Prior to SPS 05.01.04.113(8 Jun 2020) - CVE-2020-0545 and CVE-2020-0586

HPE ProLiant ML30 Gen10 Server - Prior to SPS 05.01.04.113(8 Jun 2020) - CVE-2020-0545 and CVE-2020-0586

HPE ProLiant m750 Server Blade - Prior to SPS 05.01.04.113(8 Jun 2020) - CVE-2020-0545 and CVE-2020-0586

HPE ProLiant XL170r Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant XL190r Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant XL230k Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant XL450 Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant XL450 Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE Synergy 480 Gen10 Compute Module - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE Synergy 660 Gen10 Compute Module - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant DL580 Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant BL460c Gen10 Server Blade - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant DL120 Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant DL160 Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant DL180 Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant DL360 Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant DL380 Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant DL560 Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant ML110 Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant ML350 Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant e910 Server Blade - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE ProLiant XL270d Gen10 Server - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE StoreEasy 1460 Storage - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE StoreEasy 1560 Storage - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE StoreEasy 1660 Storage - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE StoreEasy 1860 Storage - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

HPE Storage File Controllers - Prior to SPS v04.01.04.381 - CVE-2020-0545 only

Intel（英特爾）

參考地址：

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00295.html

英特爾®CSME版本11.0至11.8.76、11.10至11.12.76、11.20至11.22.76、12.0至12.0.63、13.0至13.0.31、14.0至14.0.32、14.5.11。

版本11.8.77、11.12.77、11.22.77、12.0.64、13.0.32、14.0.33和14.5.12之前的英特爾®CSME，英特爾®AMT，英特爾®ISM，英特爾®DAL和英特爾®DAL軟件：

SPS_E5_04.01.04.380.0，SPS_SoC-X_04.00.04.128.0，SPS_SoC-A_04.00.04.211.0，SPS_E3_04.01.04.109.0，SPS_E3_04.08.04.070.0之前的英特爾®服務(wù)器平臺服務(wù)固件：

英特爾®TXE：

Teradici

參考地址：

https://advisory.teradici.com/security-advisories/56/

Tera2 Zero Client firmware 20.01.1及更低版本

Tera2 Remote Workstation Card 20.01.1及更低版本

Xerox（施樂）

參考地址：

https://nvd.nist.gov/vuln/detail/CVE-2020-11903

Mini Bulletin XRX20J