8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第35周

颁布功夫 2020-09-01

> 本周安全态势综述

2020年08月24日至30日共收录安全缝隙55个，，，，，，，值得关注的是Red Lion N-Tron未明接口缝隙；；；；；FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource反序列化缝隙；；；；；Advantech iView DeviceTreeTable exportTaskMgrReport目录遍历代码执行缝隙；；；；；Foxit Studio Photo PSD越界写代码执行缝隙; Moog EXO Series EXVF5C-2治理节造台'statusbroadcast'肆意号令执行缝隙。。。。。

本周值得关注的网络安全事务是Cisco颁布安全更新，，，，，，，建复多个产品中的缝隙；；；；；Claroty颁布2020年上半年ICS缝隙分析汇报；；；；；印度游览网站RailYatri因数据库配置谬误泄露3700万笔纪录；；；；；微软建复Azure Sphere IoT平台中的4个缝隙；；；；；Cisco前员工认罪删除WebEx Teams的400多台虚构机。。。。。

凭据以上综述，，，，，，，本周安全威胁为中。。。。。

> 沉要安全缝隙列表

1.Red Lion N-Tron未明接口缝隙

Red Lion N-Tron存在未文档化接口缝隙，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，以ROOT权限执行肆意号令。。。。。

https://us-cert.cisa.gov/ics/advisories/icsa-20-240-01

2. FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource反序列化缝隙

FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource存在序列化缝隙，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，能够利用法式高低文执行肆意代码。。。。。

https://github.com/FasterXML/jackson-databind/issues/2814

3. Advantech iView DeviceTreeTable exportTaskMgrReport目录遍历代码执行缝隙

Advantech iView DeviceTreeTable exportTaskMgrReport存在目录遍历缝隙，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，能够利用法式高低文读取系统文件或者执行肆意代码。。。。。

https://www.zerodayinitiative.com/advisories/ZDI-20-1084/

4. Foxit Studio Photo PSD越界写代码执行缝隙

Foxit Studio Photo解析PSD文件存在越界写缝隙，，，，，，，允许远程攻击者能够利用缝隙提交特殊的文件要求，，，，，，，诱使用户解析，，，，，，，能够系统高低文执行肆意代码。。。。。

https://www.zerodayinitiative.com/advisories/ZDI-20-1078/

5. Moog EXO Series EXVF5C-2治理节造台'statusbroadcast'肆意号令执行缝隙

Moog EXO Series EXVF5C-2治理节造台'statusbroadcast'存在安全缝隙，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，使用'${IFS}'变量绕过限度，，，，，，，能够root权限执行肆意号令。。。。。

https://ioactive.com/moog-exo-series-multiple-vulnerabilities/

> 沉要安全事务综述

1、Cisco颁布安全更新，，，，，，，建复多个产品中的缝隙

Cisco颁布安全更新，，，，，，，以建复其多个产品中的缝隙。。。。。这次安全更新中建复的较为严沉的缝隙为Treck IP仓库中的缝隙Ripple20，，，，，，，这些缝隙可导致远程执行代码、回绝服务（DoS）或信息泄露；；；；；用于Cisco ENCS 5400-W系列和CSP 5000-W系列的Cisco vWAAS默认痛处缝隙（CVE-2020-3446），，，，，，，可被利用以治理员权限接见NFVIS CLI；；；；；思科智能软件治理器（SSM On-Prem）本地特权升级缝隙（CVE-2020-3443）以及思科视频监控8000系列IP摄像机思科发现和谈远程执行和回绝服务缝隙（CVE-2020-3506和CVE-2020-3507）。。。。。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/08/20/cisco-releases-security-updates

2、Claroty颁布2020年上半年ICS缝隙分析汇报

工业网络安全公司Claroty颁布2020年上半年ICS缝隙分析汇报。。。。。Claroty分析了新增长到国度缝隙数据库（NVD）中的365个ICS缝隙以及ICS-CERT（CISA）颁布的传递中涵盖的385个缝隙。。。。。与2019年同期披露的缝隙数量相比，，，，，，，2020年上半年新增到NVD中的缝隙数量约莫多出10％。。。。。在所识此外缝隙中，，，，，，，有70％以上的缝隙可被远程利用，，，，，，，有将近一半可用于远程执行代码，，，，，，，其中41％的缝隙可让攻击者读取利用法式数据，，，，，，，39％的缝隙可用于DoS攻击，，，，，，，37％的缝隙可绕过安全机造。。。。。

原文链接：

https://www.securityweek.com/over-70-ics-vulnerabilities-disclosed-first-half-2020-remotely-exploitable

3、印度游览网站RailYatri因数据库配置谬误泄露3700万笔纪录

SafetyDetectives 8月10日在网络上发现了RailYatri的没有密码�；；；；；さ腅lasticsearch服务器，，，，，，，泄露3700万笔纪录客户和公司数据，，，，，，，蕴含用户的全名、春秋、性别、现实和电子邮件地址、手机号码、预约具体信息、GPS地位以及姓名/支付卡的前四位和后四位。。。。。而在该公司对其数据进行�；；；；；ぶ埃�，，，，，，Meow机械人于8月12日对其产生攻击，，，，，，，删除了除1GB之表的所罕见据（总共43 GB）。。。。。

原文链接：

https://www.infosecurity-magazine.com/news/travel-site-exposed-37m-records/

4、微软建复Azure Sphere IoT平台中的4个缝隙

微软颁布缝隙补�。。。。。�，，，，，，建复Azure Sphere IoT平台中的4个缝隙。。。。。这次颁布的补丁法式建复了2个远程代码执行缝隙和2个提权缝隙，，，，，，，这些缝隙都是由Cisco Talos的安全钻研人员于7月份发现。。。。。第一个为READ_IMPLIES_EXEC personality未署名代码执行缝隙，，，，，，，第二个RCE缝隙存在于/proc/thread-self/ mem中。。。。。此表，，，，，，，权限接见节造职能中存在一个提权缝隙，，，，，，，而第二个提权缝隙存在于Azure Sphere 20.06的uid_map职能中。。。。。微软暗示会确保解决这些问题并为客户提供更新，，，，，，，但是回绝颁布任何CVEs。。。。。

原文链接：

https://threatpost.com/four-more-bugs-patched-in-microsofts-azure-sphere-iot-platform/158643/

5、Cisco前员工认罪删除WebEx Teams的400多台虚构机

思科前员工Sudhish Kasaba Ramesh认罪其删除了WebEx Teams的400多台虚构机。。。。。据其认罪和谈中称，，，，，，，其认可在去职5个月后的2018年9月24日，，，，，，，未经公司的许可有意接见思科的云基础架构，，，，，，，并从其自己的Google Cloud Project帐户中部署了一个代码，，，，，，，删除了思科WebEx Teams利用法式的456个虚构机。。。。。据悉，，，，，，，该事务导致16000个WebEx Teams帐户被关关了长达两个星期，，，，，，，Cisco破费了约莫140万美元来复原其利用受到的侵害，，，，，，，并向受影响的客户退还了超过100万美元的款子。。。。。

原文链接：

https://threatpost.com/ex-cisco-employee-pleads-guilty-to-deleting-16k-webex-teams-accounts/158748/

上一篇下一篇

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】