首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第43周

颁布功夫 2019-11-04

>本周安全态势综述

2019年10月28日至11月03日共收录安全缝隙47个，，，，，，值得关注的是Apple WebKit CVE-2019-8812内存粉碎肆意代码执行缝隙; MikroTik RouterOS NPK目录遍历缝隙；；；；；rConfig ‘rootUname’参数号令注入缝隙；；；；；ZTE 9000E CVE-2019-3425账户密码更改缝隙；；；；；Apache Thrift越界读缝隙。。。。。。。。

本周值得关注的网络安全事务是我国通过〖码法》，，，，，，将于2020年1月1日起尝试；；；；；英国NCSC颁布2019年网络安整年度汇报；；；；；格鲁吉亚遭逢大规模网络攻击，，，，，，波及1.5万个网站；；；；；Pwn2Own黑客大赛初次涉及工业节造系统；；；；；我国多个沉要单元被境表APT黑客组织攻下。。。。。。。。

凭据以上综述，，，，，，本周安全威胁为钟祝。。。。。。。

>沉要安全缝隙列表

1. Rittal Chiller SK 3232-Series未授权接见缝隙
Rittal Chiller SK 3232-Series WEB接口存在安全漏
1. Apple WebKit CVE-2019-8812内存粉碎肆意代码执行缝隙
Apple WebKit处置WEB内容存在内存粉碎缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的页面要求，，，，，，诱使用户解析，，，，，，可进行回绝服务攻击或者执行肆意代码。。。。。。。。
https://support.apple.com/zh-cn/HT210726

2. MikroTik RouterOS NPK目录遍历缝隙
MikroTik RouterOS处置升级包名字字段缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，可进行目录遍历攻击，，，，，，装置恶意包获取权限。。。。。。。。
https://zh-cn.tenable.com/security/research/tra-2019-46?tns_redirect=true

3. rConfig ‘rootUname’参数号令注入缝隙
rConfig ‘rootUname’参数处置没有经过输入校验，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，以利用法式高低文执行肆意OS号令。。。。。。。。
https://drive.google.com/file/d/1bTpTn4-alJ8qGCEATLq-oVM6HbhE65iY/view?usp=sharing

4. ZTE 9000E CVE-2019-3425账户密码更改缝隙
ZTE 9000E存在设计缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，直接设置更改其它账户的密码。。。。。。。。
http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1011682

5. Apache Thrift越界读缝隙
Apache Thrift使用TJSONProtocol或 TSimpleJSONProtocol存在缓冲区溢露马脚，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，可使利用法式崩�；；；；；蛑葱兴烈獯搿！�。。。。。。
http://mail-archives.apache.org/mod_mbox/thrift-dev/201910.mbox/%3C277A46CA87494176B1BBCF5D72624A2A%40HAGGIS%3E

>沉要安全事务综述

1、我国通过〖码法》，，，，，，将于2020年1月1日起尝试