首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第04周

颁布功夫 2020-02-04

> 本周安全态势综述

2020年01月20日至26日共收录安全缝隙42个，，，，，，，，值得关注的是Cisco Webex Video Mesh WEB接口肆意号令执行缝隙; Ruckus Wireless Unleashed emfd肆意OS号令执行缝隙；；；；；；；Trustwave ModSecurity Transaction::addRequestHeader回绝服务缝隙；；；；；；；Honeywell Maxpro VMS & NVR反序列化代码执行缝隙；；；；；；；Philips Hue Bridge ZCL堆溢露马脚。。。。。。

本周值得关注的网络安全事务是美国国度尺度技术钻研院颁布隐衷风险治理框架1.0版；；；；；；；GDPR监管机构迄今为止已罚�？？？？？�1.26亿美元；；；；；；；微软泄露2.5亿条呼叫中心纪录，，，，，，，，客户邮箱及IP地址露出；；；；；；；钻研人员披露FortiSIEM中的硬编码SSH密钥缝隙；；；；；；；苹果颁布通明度汇报，，，，，，，，披露列国当局要求苹果用户数据情况。。。。。。

凭据以上综述，，，，，，，，本周安全威胁为钟祝。。。。。

>沉要安全缝隙列表

1. Cisco Webex Video Mesh WEB接口肆意号令执行缝隙

Cisco Webex Video Mesh WEB接口存在输入验证缝隙，，，，，，，，允许通过验证的远程攻击者利用缝隙提交特殊的要求，，，，，，，，能够root权限执行肆意号令。。。。。。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-webex-video

2. Ruckus Wireless Unleashed emfd肆意OS号令执行缝隙

Ruckus Wireless Unleashed emfd admin/_cmdstat.jsp不正确处置xcmd=import-category属性，，，，，，，，允许远程攻击者利用缝隙提交特殊的POST要求，，，，，，，，能够利用法式高低文执行肆意OS号令。。。。。。

https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10816.html

3. Trustwave ModSecurity Transaction::addRequestHeader回绝服务缝隙

Trustwave ModSecurity Transaction::addRequestHeader存在安全缝隙，，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，，可进行回绝服务攻击。。。。。。

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/modsecurity-denial-of-service-details-cve-2019-19886/

4. Honeywell Maxpro VMS & NVR反序列化代码执行缝隙

Honeywell Maxpro VMS & NVR处置WEB要求存在反序列化缝隙，，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，，可执行肆意代码。。。。。。

https://www.us-cert.gov/ics/advisories/icsa-20-021-01

5. Philips Hue Bridge ZCL堆溢露马脚

Philips Hue Bridge处置超长ZCL字符串存在堆溢露马脚，，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，，能够利用法式高低文执行肆意代码。。。。。。

https://www2.meethue.com/en-us/support/release-notes/bridge

> 沉要安全事务综述

1、美国国度尺度技术钻研院颁布隐衷风险治理框架1.0版