8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第46周

颁布功夫 2019-11-25

>本周安全态势综述

2019年11月18日至24日共收录安全缝隙50个，，，，，值得关注的是Apache Solr solr.in.sh远程代码执行缝隙; Apache Shiro "remember me" Oracle Padding攻击缝隙；；；；；ISC BIND TCP客户端数量限度回绝服务缝隙；；；；；Fortinet FortiOS SSL VPN门户回绝服务缝隙；；；；；Qualcomm QCA6174_9377 Bluetooth HOST权限提升缝隙。。。。。。。。

本周值得关注的网络安全事务是NowSecure披露Android libpac库中的RCE缝隙；；；；；Android相机缝隙可奥秘拍照及录造视频；；；；；黑客在网上颁布开曼银行的2TB数据；；；；；WordPress Jetpack插件缝隙影响数百万网站；；；；；Oracle EBS接见节造不当缝隙影响上万家企业。。。。。。。。

凭据以上综述，，，，，本周安全威胁为钟祝。。。。。。。

>沉要安全缝隙列表

1. Apache Solr solr.in.sh远程代码执行缝隙
Apache Solr没有安全地设置默认solr.in.sh配置文件的ENABLE_REMOTE_JMX_OPTS配置选项，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，未授权上传代码并执杏祝。。。。。。。
https://lists.apache.org/thread.html/6640c7e370fce2b74e466a605a46244ccc40666ad9e3064a4e04a85d@%3Csolr-user.lucene.apache.org%3E

2. Apache Shiro "remember me" Oracle Padding攻击缝隙
Apache Shiro "remember me"存在Oracle Padding缝隙，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，可获取敏感信息。。。。。。。。
https://lists.apache.org/thread.html/c9db14cfebfb8e74205884ed2bf2e2b30790ce24b7dde9191c82572c@%3Cdev.shiro.apache.org%3E

3. ISC BIND TCP客户端数量限度回绝服务缝隙
ISC BIND TCP客户端数量限度处置存在安全缝隙，，，，，允许远程攻击者能够利用缝隙提交单个链接上通过一个TCP客户端发送大量DNS要求，，，，，可使系统崩溃。。。。。。。。
https://access.redhat.com/security/cve/cve-2019-6477

4. Fortinet FortiOS SSL VPN门户回绝服务缝隙
Fortinet FortiOS SSL VPN存在输入验证缝隙，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，可使SSL VPN服务崩溃。。。。。。。。
https://www.auscert.org.au/bulletins/ESB-2019.4388/

5. Qualcomm QCA6174_9377 Bluetooth HOST权限提升缝隙
Qualcomm QCA6174_9377 Bluetooth HOST权限处置存在安全缝隙，，，，，允许低权限攻击者能够利用缝隙提交特殊的要求，，，，，写恶意注册数据，，，，，提升权限。。。。。。。。
https://www.qualcomm.com/company/product-security/bulletins/october-2019-bulletin

>沉要安全事务综述

1、NowSecure披露Android libpac库中的RCE缝隙

8827太阳集团(Macau)股份有限公司-Official website

NowSecure钻研人员发现Android系统使用的libpac库中存在RCE缝隙（CVE-2019-2205）。。。。。。。。libpac是一个基于Chromium项目代码的库，，，，，该库使用静态链接的V8 JS引擎来解析JavaScript，，，，，这为平台利用法式带来了巨大的攻击面。。。。。。。。钻研人员发现JS函数FindProxyForUrl高低文中的ArrayBuffers分配器申明不正确，，，，，可致栈上的VPTR被覆盖，，，，，这可能被用于执行肆意代码。。。。。。。。谷歌在11月Android安全更新中建复了该缝隙。。。。。。。。

原文链接：
https://www.nowsecure.com/blog/2019/11/13/nowsecure-discovers-critical-android-vuln-that-may-lead-to-remote-code-execution/

2、Android相机缝隙可奥秘拍照及录造视频

8827太阳集团(Macau)股份有限公司-Official website

Checkmarx的钻研人员在Android相机利用中发现一个新缝隙，，，，，即APP可在没有权限的情况下拍照、录造视频或获取设备的地位。。。。。。。。该缝隙（CVE-2019-2234）相当危险，，，，，由于它能够使APP在手机锁屏的状态下奥秘拍照和录像，，，，，也能够从存储的照片中提取GPS地位数据，，，，，还能够将这些数据发送回攻击者的远程服务器。。。。。。。。凭据Google的说法，，，，，相机利用已于2019年7月通过Google Play商店更新建复了此缝隙。。。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/android-camera-app-bug-lets-apps-record-video-without-permission/

3、黑客在网上颁布开曼银行的2TB数据

8827太阳集团(Macau)股份有限公司-Official website

黑客从开曼银行窃取了2TB的数据并颁布在网上。。。。。。。。据称这些数据是由黑客或黑客团伙Phineas Fisher窃取的，，，，，并通过Distributed Denial of Secrets项目颁布。。。。。。。。数据集中蕴含开曼银行为其全球客户治理的超过3800家公司、信任和幼我账户的具体财政信息，，，，，甚至蕴含账户余额。。。。。。。。浚�？？？？？胁⑽慈峡墒菪孤叮�，，，，但安全专家把稳到其很多服务于11月17日因“沉大升级和守护”而处于不成用状态。。。。。。。。

原文链接：
https://securityaffairs.co/wordpress/94136/data-breach/cayman-national-bank-data-leak.html

4、WordPress Jetpack插件缝隙影响数百万网站

8827太阳集团(Macau)股份有限公司-Official website

Jetpack开发团队督促WordPress网站治理员立刻利用Jetpack 7.9.1关键安全更新，，，，，以建复一个关键缝隙。。。。。。。。固然该团队没有披露有关该缝隙的具体信息，，，，，但凭据Jetpack的布告，，，，，该缝隙影响了从5.1到2017年7月以来的所有版本。。。。。。。。浚�？？？？？⑷嗽卑凳久挥蟹⑾指梅煜侗灰氨砝玫闹ぞ荨！！！�。。。。Jetpack是一个受欢迎的WordPress插件，，，，，它为治理员提供免费的安全性和站点治理职能，，，，，该插件的活跃装置量为超过500万，，，，，开发团队暗示已有超过400万网站装置了更新。。。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/millions-of-sites-exposed-by-flaw-in-jetpack-wordpress-plugin/

5、Oracle EBS接见节造不当缝隙影响上万家企业

8827太阳集团(Macau)股份有限公司-Official website

Oracle电子商务套件（EBS）中的两个关键缝隙可导致攻击者齐全节造公司的ERP解决规划。。。。。。。。该缝隙被归类为CWE-284：接见节造不当，，，，，其CVSS得分为9.9分，，，，，被跟踪为CVE-2019-2638和CVE-2019-2633。。。。。。。。若是成功利用这两个缝隙，，，，，未经授权的攻击者可把持电子汇款流程并打印银行支票而不被发现。。。。。。。。Oracle在4月沉要补丁更新中建复了该缝隙，，，，，但凭据Onapsis钻研团队的估计，，，，，当前约有50％的Oracle EBS客户尚未部署补丁！！！�。。。。ǹ赡芏啻�1万个企业）。。。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/thousands-of-enterprises-at-risk-due-to-oracle-ebs-critical-flaws/

上一篇下一篇

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】