首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第21周

颁布功夫 2020-05-26

> 本周安全态势综述

2020年05月18日至05月24日共收录安全缝隙60个，，，，，值得关注的是Cisco Unified Contact Center Express反序列化代码执行缝隙; Apache Tomcat session反序列化代码执行缝隙；；；；；；；；Google Chrome reader mode内存谬误引用代码执行缝隙；；；；；；；；Emerson Electric OpenEnterpris远程代码执行缝隙；；；；；；；；Centreon main.get.php OS号令注入缝隙。。。。。。

本周值得关注的网络安全事务是iPhone邮件利用Edison Mail存在缝隙，，，，，泄露用户信息；；；；；；；；澳大利亚公司BlueScope遭到攻击导致部门业务中断；；；；；；；；Daimler 580多个Git存储库露出，，，，，奔腾组件OLU源代码泄露；；；；；；；；Adobe颁布垂危带表更新，，，，，建复远程执行代码缝隙；；；；；；；；黑客盗取Wishbone中4000万条用户信息，，，，，并在暗网标价销售。。。。。。

凭据以上综述，，，，，本周安全威胁为钟祝。。。。。

>沉要安全缝隙列表

1. Cisco Unified Contact Center Express反序列化代码执行缝隙

Cisco Unified Contact Center Express Java远程治理界面存在反序列化缝隙，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，能够root权限执行肆意代码。。。。。。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-rce-GMSC6RKN

2. Apache Tomcat session反序列化代码执行缝隙

Apache Tomcat存在安全缝隙，，，，，当使用tomcat时，，，，，若是使用了tomcat提供的session悠久化职能，，，，，若是存在文件上传职能，，，，，恶意要求者通过一个流程，，，，，将能提议一个恶意要求造成服务端远程号令执杏祝。。。。。

https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E

3. Google Chrome reader mode内存谬误引用代码执行缝隙

Google Chrome reader mode存在开释后使用缝隙，，，，，允许远程攻击者能够利用缝隙提交特殊的WEB要求，，，，，诱使用户解析，，，，，可使利用法式崩�；；；；；；；；蛘咭岳梅ㄊ礁叩臀闹葱兴烈獯搿�。。。。。

https://chromereleases.googleblog.com/2020/05/stable-channel-update-for-desktop_19.html

4. Emerson Electric OpenEnterpris远程代码执行缝隙

Emerson Electric OpenEnterprise某通折服务存在安全缝隙，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，可执行肆意代码。。。。。。

https://www.us-cert.gov/ics/advisories/icsa-20-140-02

5. Centreon main.get.php OS号令注入缝隙

Centreon main.get.php处置RRDdatabase_status_path参数存在安全缝隙，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，可注入肆意OS号令。。。。。。

https://github.com/centreon/centreon/pull/8467

> 沉要安全事务综述

1、iPhone邮件利用Edison Mail存在缝隙，，，，，泄露用户信息