首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第36周

颁布功夫 2019-09-16

> 本周安全态势综述

2019年9月09日至13日共收录安全缝隙48个，，，，，，，，值得关注的是Dabman & Imperial Web Radio Devices telnet后门缝隙；；；；；；Exim初始TLS握手肆意代码执行缝隙；；；；；；Apache OFBiz template注入代码执行缝隙；；；；；；Adobe Flash Player PSDK内存谬误引用缝隙；；；；；；Microsoft Office内存粉碎代码执行缝隙。。。。。。

本周值得关注的网络安全事务是Dealer Leads意表泄露1.98亿汽车买家纪录；；；；；；新NetCAT攻击可从英特尔CPU中窃取数据；；；；；；美国国度尺度与技术钻研院颁布隐衷框架初稿；；；；；；黑客利用DoS缝隙导致美国电网防火墙反复沉启；；；；；；Telestar被曝Telnet后门缝隙影响100多万IoT设备。。。。。。

凭据以上综述，，，，，，，，本周安全威胁为中。。。。。。

> 沉要安全缝隙列表

1. Dabman & Imperial Web Radio Devices telnet后门缝隙

Dabman & Imperial Web Radio Devices存在未文档化的telnet后门缝隙，，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，，可未授权接见利用。。。。。。
https://packetstormsecurity.com/files/154416/Dabman-And-Imperial-Web-Radio-Devices-Undocumented-Telnet-Backdoor.html

2. Exim初始TLS握手肆意代码执行缝隙

Exim处置TLS链接的初始TLS握手存在安全缝隙，，，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，，，发送一个以“\0”结尾的SNI来触发缝隙，，，，，，，，执行肆意代码。。。。。。
https://www.kb.cert.org/vuls/id/672565/

3. Apache OFBiz template注入代码执行缝隙

Apache OFBiz存在template注入缝隙，，，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，，，可执行肆意代码。。。。。。
https://www.auscert.org.au/bulletins/ESB-2019.3469/

4. Adobe Flash Player PSDK内存谬误引用缝隙

Adobe Flash Player PSDK namespace处置对象存在内存粉碎缝隙，，，，，，，，允许远程攻击者能够利用缝隙提交特殊的文件要求，，，，，，，，诱使用户解析，，，，，，，，可使利用法式崩�；；；；；；蛑葱兴烈獯�。。。。。。
https://www.zerodayinitiative.com/advisories/ZDI-19-818/

5. Microsoft Office内存粉碎代码执行缝隙

Microsoft Office处置文档存在内存粉碎缝隙，，，，，，，，允许远程攻击者能够利用缝隙提交特殊的文件要求，，，，，，，，诱使用户解析，，，，，，，，可使利用法式崩�；；；；；；蛑葱兴烈獯�。。。。。。
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1264

> 沉要安全事务综述

1、Dealer Leads意表泄露1.98亿汽车买家纪录