• 尊龙凯时

    尊龙凯时

    尊龙凯时科技

    • 安全产品与方案

      安全产品与方案

    • 基础设施安全

      基础设施安全

    • 数据安全

      数据安全

    • 云计算安全

      云计算安全

    • 工业互联网安全

      工业互联网安全

    • 物联网安全

      物联网安全

    • 信息技术应用创新

      信息技术应用创新

    • 全部产品

      全部产品

    • 全部解决方案

      全部解决方案

    基础设施安全

    • 政府

      政府

    • 运营商

      运营商

    • 金融

      金融

    • 能源

      能源

    • 交通

      交通

    • 企业

      企业

    • 科教文卫

      科教文卫

    返回列表

    【安全通告】Yii2 反序列化远程命令执行漏洞 (CVE-2020-15148) 防护方案

    2020-09-21

    一.  综述

    近日监测到,Yii Framework 2 在其 9月14 日发布的更新日志中公布了一个反序列化远程命令执行漏洞(CVE-2020-15148)。

    官方通过给yii\db\BatchQueryResult类加上__wakeup()函数,禁用了yii\db\BatchQueryResult的反序列化,阻止了应用程序对任意用户输入调用'unserialize()’造成的远程命令执行。

    Yii2 是一个高性能,基于组件的开源 PHP 框架,用于快速开发现代 Web 应用程序。

    目前,官方已发布修复了漏洞的新版本。尊龙凯时科技检测防护产品已针对该漏洞提供能力,建议相关用户尽快采取防护措施。

    参考链接:

    https://github.com/yiisoft/yii2/blob/928b511d75ee719cd4007f220eafce9eab4d1b4a/framework/CHANGELOG.md

    https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj

    二.  漏洞影响范围

    l Yii2 Version < 2.0.38    

    三.  技术防护方案

    3.1  官方修复方案

    官方已发布修复了漏洞的新版本2.0.38。

    下载链接:

    https://github.com/yiisoft/yii2/releases/tag/2.0.38

    3.2  尊龙凯时科技检测防护建议

    3.2.1  尊龙凯时科技检测类产品服务

    内网资产可以使用尊龙凯时科技的远程安全评估系统(RSAS V6)、Web应用漏洞扫描系统(WVSS)、入侵检测系统(IDS)、统一威胁探针(UTS)进行检测。

    远程安全评估系统(RSAS V6)

    http://update.nsfocus.com/update/listRsas

    Web应用漏洞扫描系统(WVSS)

    http://update.nsfocus.com/update/listWvss

    入侵检测系统(IDS)

    http://update.nsfocus.com/update/listIds

    统一威胁探针(UTS)

    http://update.nsfocus.com/update/bsaUtsIndex

    3.2.1.1  检测产品升级包/规则版本号

    检测产品

    升级/规则版本号

    RSAS V6 web插件

    V6.0R02F00.1816

    WVSS

    V6.0R03F00.182

    IDS

    5.6.9.23576、5.6.10.23576

    UTS

    5.6.10.23576

     

    3.2.2  尊龙凯时科技防护类产品

    使用尊龙凯时科技防护类产品,入侵防护系统(IPS)、下一代防火墙系统(NF)、Web应用防护系统(WAF)来进行防护。

    入侵防护系统(IPS)

    http://update.nsfocus.com/update/listIps

    下一代防火墙系统(NF)

    http://update.nsfocus.com/update/listNf

    Web应用防护系统(WAF)

    http://update.nsfocus.com/update/wafIndex

    3.2.2.1  防护产品升级包/规则版本号

    防护产品

    升级/规则版本号

    规则编号

    IPS

    5.6.9.23576、5.6.10.23576

    25037

    NF

    6.0.1.828、6.0.2.828

    25037

    WAF

    6.0.7.0.46432、6.0.7.1.46432

    27005015

    四.  附录 产品/平台使用指南

    4.1  RSAS扫描配置

    在系统升级中,点击下图红框位置选择文件。

     

    选择下载好的相应升级包,点击升级按钮进行手动升级。等待升级完成后,可通过定制扫描模板,针对此漏洞进行扫描。

    4.2  WVSS扫描配置

    在WVSS的系统升级界面,点击下图红框位置选择文件,进行升级:

     

    选择下载好的相应升级包,点击升级按钮进行手动升级。等待升级完成后,可通过定制扫描模板,针对此次漏洞进行扫描。

    4.3  UTS检测配置

    在系统升级中点击离线升级,选择规则升级文件,选择对应的升级包文件,点击上传,并等待升级成功即可。

     

    4.4  IPS防护配置

    在系统升级中点击离线升级,选择系统规则库,选择对应的文件,点击上传。

     

    更新成功后,在系统默认规则库中查找规则编号,即可查询到对应的规则详情。

     

    注意事项:该升级包升级后引擎自动重启生效,不会造成会话中断,但ping包会丢3~5个,请选择合适的时间升级。

    4.5  NF防护配置

    在 NF 的规则升级界面进行升级:

     

    手动选择规则包,提交即可完成更新。

    4.6  WAF防护配置

    在WAF的规则升级界面进行升级:

     

    手动选择规则包,提交即可完成更新。

    4.7  声 明

    本安全公告仅用来描述可能存在的安全问题,尊龙凯时科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,尊龙凯时科技以及安全公告作者不为此承担任何责任。尊龙凯时科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经尊龙凯时科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

    关于尊龙凯时科技

    尊龙凯时科技集团股份有限公司(简称尊龙凯时科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

    基于多年的安全攻防研究,尊龙凯时科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

    尊龙凯时科技集团股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:尊龙凯时科技,股票代码:300369。

    <<上一篇

    【漏洞通告】Spring Framework反射型文件下载漏洞 (CVE-2020-5421)

    >>下一篇

    尊龙凯时科技威胁情报周报(2020.09.14-2020.09.20)

    您的联系方式

    *姓名
    *单位名称
    *联系方式
    *验证码
    提交到邮箱

    购买热线

    • 购买咨询:

      400-818-6868-1

    提交项目需求

    欢迎加入尊龙凯时科技,成为我们的合作伙伴!
    • *请描述您的需求
    • *最终客户名称
    • *项目名称
    • 您感兴趣的产品
    • 项目预算
    您的联系方式
    • *姓名
    • *联系电话
    • *邮箱
    • *职务
    • *公司
    • *城市
    • *行业
    • *验证码
    • 提交到邮箱

    服务支持

    智能客服
    智能客服
    购买/售后技术问题
    盟管家-售后服务系统
    盟管家-售后服务系统
    在线提单|智能问答|知识库
    支持热线
    支持热线
    400-818-6868
    尊龙凯时科技社区
    尊龙凯时科技社区
    资料下载|在线问答|技术交流
    微博
    微博

    微博

    微信
    微信

    微信

    B站
    B站

    B站

    抖音
    抖音

    抖音

    视频号
    视频号

    视频号

    服务热线

    400-818-6868

    服务时间

    7*24小时

    © 2024 NSFOCUS 尊龙凯时科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证48052245号

    尊龙凯时