人生就是博

首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2020年第35周

宣布时间 2020-09-01

> 本周清静态势综述

2020年08月24日至30日共收录清静误差55个，，，值得关注的是Red Lion N-Tron未明接口误差；；FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource反序列化误差；；Advantech iView DeviceTreeTable exportTaskMgrReport目录遍历代码执行误差；；Foxit Studio Photo PSD越界写代码执行误差; Moog EXO Series EXVF5C-2治理控制台'statusbroadcast'恣意下令执行误差。。。。

本周值得关注的网络清静事务是Cisco宣布清静更新，，，修复多个产品中的误差；；Claroty宣布2020年上半年ICS误差剖析报告；；印度旅游网站RailYatri因数据库设置过失泄露3700万条纪录；；微软修复Azure Sphere IoT平台中的4个误差；；Cisco前员工认罪删除WebEx Teams的400多台虚拟机。。。。

凭证以上综述，，，本周清静威胁为中。。。。

> 主要清静误差列表

1.Red Lion N-Tron未明接口误差

Red Lion N-Tron保存未文档化接口误差，，，允许远程攻击者可以使用误差提交特殊的请求，，，以ROOT权限执行恣意下令。。。。

https://us-cert.cisa.gov/ics/advisories/icsa-20-240-01

2. FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource反序列化误差

FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource保存序列化误差，，，允许远程攻击者可以使用误差提交特殊的请求，，，可以应用程序上下文执行恣意代码。。。。

https://github.com/FasterXML/jackson-databind/issues/2814

3. Advantech iView DeviceTreeTable exportTaskMgrReport目录遍历代码执行误差

Advantech iView DeviceTreeTable exportTaskMgrReport保存目录遍历误差，，，允许远程攻击者可以使用误差提交特殊的请求，，，可以应用程序上下文读取系统文件或者执行恣意代码。。。。

https://www.zerodayinitiative.com/advisories/ZDI-20-1084/

4. Foxit Studio Photo PSD越界写代码执行误差

Foxit Studio Photo剖析PSD文件保存越界写误差，，，允许远程攻击者可以使用误差提交特殊的文件请求，，，诱使用户剖析，，，可以系统上下文执行恣意代码。。。。

https://www.zerodayinitiative.com/advisories/ZDI-20-1078/

5. Moog EXO Series EXVF5C-2治理控制台'statusbroadcast'恣意下令执行误差

Moog EXO Series EXVF5C-2治理控制台'statusbroadcast'保存清静误差，，，允许远程攻击者可以使用误差提交特殊的请求，，，使用'${IFS}'变量绕过限制，，，可以root权限执行恣意下令。。。。

https://ioactive.com/moog-exo-series-multiple-vulnerabilities/

> 主要清静事务综述

1、Cisco宣布清静更新，，，修复多个产品中的误差

Cisco宣布清静更新，，，以修复其多个产品中的误差。。。。此次清静更新中修复的较为严重的误差为Treck IP客栈中的误差Ripple20，，，这些误差可导致远程执行代码、拒绝效劳（DoS）或信息泄露；；用于Cisco ENCS 5400-W系列和CSP 5000-W系列的Cisco vWAAS默认凭证误差（CVE-2020-3446），，，可被使用以治理员权限会见NFVIS CLI；；思科智能软件治理器（SSM On-Prem）外地特权升级误差（CVE-2020-3443）以及思科视频监控8000系列IP摄像机思科发明协议远程执行和拒绝效劳误差（CVE-2020-3506和CVE-2020-3507）。。。。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/08/20/cisco-releases-security-updates

2、Claroty宣布2020年上半年ICS误差剖析报告

工业网络清静公司Claroty宣布2020年上半年ICS误差剖析报告。。。。Claroty剖析了新添加到国家误差数据库（NVD）中的365个ICS误差以及ICS-CERT（CISA）宣布的转达中涵盖的385个误差。。。。与2019年同期披露的误差数目相比，，，2020年上半年新增到NVD中的误差数目约莫多出10％。。。。在所识别的误差中，，，有70％以上的误差可被远程使用，，，有快要一半可用于远程执行代码，，，其中41％的误差可让攻击者读取应用程序数据，，，39％的误差可用于DoS攻击，，，37％的误差可绕过清静机制。。。。

原文链接：

https://www.securityweek.com/over-70-ics-vulnerabilities-disclosed-first-half-2020-remotely-exploitable

3、印度旅游网站RailYatri因数据库设置过失泄露3700万条纪录

SafetyDetectives 8月10日在网络上发明了RailYatri的没有密码�；；さ腅lasticsearch效劳器，，，泄露3700万条纪录客户和公司数据，，，包括用户的全名、年岁、性别、现实和电子邮件地点、手机号码、预订详细信息、GPS位置以及姓名/支付卡的前四位和后四位。。。。而在该公司对其数据举行�；；ぶ�，，，Meow机械人于8月12日对其爆发攻击，，，删除了除1GB之外的所有数据（总共43 GB）。。。。

原文链接：

https://www.infosecurity-magazine.com/news/travel-site-exposed-37m-records/

4、微软修复Azure Sphere IoT平台中的4个误差

微软宣布误差补丁，，，修复Azure Sphere IoT平台中的4个误差。。。。此次宣布的补丁程序修复了2个远程代码执行误差和2个提权误差，，，这些误差都是由Cisco Talos的清静研究职员于7月份发明。。。。第一个为READ_IMPLIES_EXEC personality未署名代码执行误差，，，第二个RCE误差保存于/proc/thread-self/ mem中。。。。别的，，，权限会见控制功效中保存一个提权误差，，，而第二个提权误差保存于Azure Sphere 20.06的uid_map功效中。。。。微软体现会确保解决这些问题并为客户提供更新，，，可是拒绝宣布任何CVEs。。。。

原文链接：

https://threatpost.com/four-more-bugs-patched-in-microsofts-azure-sphere-iot-platform/158643/

5、Cisco前员工认罪删除WebEx Teams的400多台虚拟机

思科前员工Sudhish Kasaba Ramesh认罪其删除了WebEx Teams的400多台虚拟机。。。。据其认罪协议中称，，，其认可在去职5个月后的2018年9月24日，，，未经公司的允许有意会见思科的云基础架构，，，并从其自己的Google Cloud Project帐户中安排了一个代码，，，删除了思科WebEx Teams应用程序的456个虚拟机。。。。据悉，，，该事务导致16000个WebEx Teams帐户被关闭了长达两个星期，，，Cisco破费了约莫140万美元来恢复其应用受到的损害，，，并向受影响的客户退还了凌驾100万美元的款子。。。。

原文链接：

https://threatpost.com/ex-cisco-employee-pleads-guilty-to-deleting-16k-webex-teams-accounts/158748/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 人生就是博版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】