2020年04月21日， 发现 openssl 官方发布了 TLS 1.3 组件拒绝服务漏洞 （CVE-2020-1967）的风险通告。 openssl 是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信。这个包广泛被应用在互联网的网页服务器上。其主要库是以 C 语言所写成，实现了基本的加密功能，实现了 SSL 与 TLS 协议。openssl 可以运行在 OpenVMS、 Microsoft Windows 以及绝大多数类 Unix 操作系统上（包括 Solaris，Linux，MacOS 与各种版本的开放源代码 BSD 操作系统）。 TLS(Transport Layer Security) 是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。在浏览器、电子邮件、即时通信、VoIP、网络传真等应用程序中都广泛支持这个协议。该协议当前已成为互联网上保密通信的工业标准。 openssl 存在 拒绝服务漏洞，攻击者 通过 发送特制的请求包，可以造成 目标主机服务崩溃或拒绝服务。 服务端或客户端程序在 SSL_check_chain() 函数处理 TLS 1.3握手前后。可能会触发空指针解引用，导致错误处理 tls 扩展 signature_algorithms_cert。当服务端或客户端程序收到一个无效或无法识别的签名算法时可能会引发崩溃或拒绝服务漏洞。 建议广大用户及时安装最新补丁，做好资产自查以及预防工作，以免遭受黑客攻击。

通达 OA（Office Anywhere）网络智能办公系统是适用于企事业单位的通用型网络办公软件，是中国用户群最大的 OA 软件品牌。融合了通达科技长期从事管理软件开发的丰富经验与先进技术，并采用领先的 B/S(浏览器/服务器)操作方式，使得网络办公不受地域限制。 2020年04月17日，通达 OA 官网发布了通达 OA 最新版11.5版本，其中修复了一枚任意用户登录漏洞。未经授权的攻击者可以通过精心构造的 HTTP 请求登录任意用户，包括 Admin 用户。不排除结合其他漏洞进一步控制通达 OA 服务乃至整个服务器的可能。建议广大用户及时将使用的通达 OA 系统更新到最新版本。

一份来自独立消费者组织“Which？”的最新报告显示，欧洲最受欢迎的两款汽车福特福克斯和大众Polo存在网络安全漏洞，这些漏洞可能会遭到黑客的攻击。

正式发布！

Kong API 网关 是目前最受欢迎的云原生 API 网关之一，有开源版和企业版两个分支，被广泛应用于云原生、微服务、分布式、无服务云函数等场景的 API 接入中间件，为云原生应用提供鉴权，转发，负载均衡，监控等能力。 Kong API 网关管理员控制接口存在未授权访问漏洞，攻击者访问到这个 API，他就具有了 Kong Proxy 的所有能力，可以查看和修改企业当前在南北流量管理上的配置，可以直接控制 API 网关使其成为一个开放性的流量代理(比 SSRF 更便于使用和利用)，从而访问到内部的敏感服务。

随着知道创宇云防御平台3.0的发布，子账号功能也进行了升级和更改。为了使用户能够更高效地管理域名和账号，以下是最新版子账号功能的相关说明。

2020年04月14日， 监测发现 IBM 官方发布了 WebSphere Application Server 权限提升漏洞的风险通告，该漏洞编号为 CVE-2020-4362 和 CVE-2020-4276，漏洞等级高危。 WebSphere Application Server 是一款由 IBM 公司开发的高性能的 Java 中间件服务器，可用于构建、运行、集成、保护和管理部署的动态云和 Web 应用。它不仅能够确保高性能和灵活性，还提供多种开放标准编程模型选项，旨在最大程度提高开发人员的生产力。 WebSphere SOAP Connector 服务用于管理远程节点和数据同步，因此主要是在服务器与服务器之间进行通信。它的默认监听地址为0.0.0.0:8880。 当 WebSphere Application Server 的 SOAP 连接器的管理请求中使用基于令牌的认证时，未经授权的远程攻击者可以构造恶意的认证请求，在目标服务器造成远程特权提升，并执行恶意代码，获取系统权限。

接温州电信通知，将于北京时间 2020-04-15 02:00:00 至 2020-04-15 07:00:00 进行机房割接维护，涉及 IP段 122.228.238.0~122.228.238.255，由云安全防护的网站不受影响。