首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第30周

颁布功夫 2019-08-05

> 本周安全态势综述

2019年7月29日至8月04日共收录安全缝隙50个，值得关注的是Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP密码更改号令注入缝隙；Puppet Enterprise PE's express install默认密码缝隙；Wind River Systems VxWorks IP选项解析缓冲区溢露马脚；Polycom UC Software上传文件代码执行缝隙；cPanel SQL注入缝隙。

本周值得关注的网络安全事务是纽约通过新数据泄露通知法案，数据监管再次升级；Capital One泄露1.06亿用户信息，嫌疑人已被捕；VxWorks建复11个安全缝隙，影响超过20亿台设备；Amcrest家用摄像头严沉缝隙，可允许攻击者远程监听用户；智利1430万公民信息泄露，占全国总人丁近80%。

凭据以上综述，本周安全威胁为中。

> 沉要安全缝隙列表

1. Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP密码更改号令注入缝隙

Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP 密码更改界面更改密码处置存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可执行肆意OS号令。

https://www.sit.fraunhofer.de/fileadmin/dokumente/CVE/Advisory_Alcatel_8008CloudEditionDeskPhone.pdf?_=1559026340

2. Puppet Enterprise PE's express install默认密码缝隙

Puppet Enterprise PE's express install存在默认密码缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可未授权接见。
https://puppet.com/security/cve/CVE-2019-10694

3. Wind River Systems VxWorks IP选项解析缓冲区溢露马脚

Wind River Systems VxWorks IP选项处置存在缓冲区溢露马脚，允许远程攻击者能够利用缝隙提交特殊的要求，可使利用法式崩�；蛑葱兴烈獯�。
https://www.us-cert.gov/ics/advisories/icsa-19-211-01

4. Polycom UC Software上传文件代码执行缝隙

Polycom UC Software上传文件存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可执行肆意代码。
https://support.polycom.com/content/dam/polycom-support/global/documentation/remote-code-execution-vulnerability-in-ucs-software-v1-0.pdf

5. cPanel SQL注入缝隙

cPanel存在SQL注入缝隙，允许远程攻击者能够利用缝隙提交特殊的SQL要求，操作数据库，可获取敏感信息或执行肆意代码。
https://documentation.cpanel.net/display/CL/58+Change+Log

> 沉要安全事务综述

1、纽约通过新数据泄露通知法案，数据监管再次升级

GA黄金甲·(中国区)官方网站

纽约州州长Andrew M. Cuomo近日签署了一项新的数据泄露通知法案，该法案的名称为“阻止黑客及改进电子数据安全”，即SHIELD法案，旨在�；づυ脊竦囊允莶⒓忧扛弥莸氖菪孤墩�。该法案扩大了幼我信息的领域，将生物鉴别信息、电子邮件地址及密码、安全问题及答案列入其中。该法案还增长了民事处罚，并将通知要求利用于任何占有纽约公民隐衷信息的幼我或实体，而不仅仅是在纽约州发展业务的实体。该法案还将提供身份偷窃�；し裥慈胨痉�，要求CRA在产生涉及社会安全号码的数据泄露后必须向消费者提供合理的�；し�。

原文链接：https://www.bleepingcomputer.com/news/security/new-york-passes-law-to-update-data-breach-notification-requirements/

2、Capital One泄露1.06亿用户信息，嫌疑人已被捕

GA黄金甲·(中国区)官方网站

Capital One确认其系统于3月22日至23日期间遭未授权接见，导致1.06亿用户的信息泄露，蕴含买卖数据、信誉评分、支付汗青、余额以及关联的银行账户和社会安全号码。受影响的用户蕴含1亿美国人和600万加拿大人。凭据有关证据，FBI已经扣留了嫌疑人Paige Thompson。Capital One暗示由于客户通知、免费的信誉监控服务、安全改进成本以及司法用度，这一事务将导致约1亿至1.5亿美元的成本。

原文链接：https://www.bleepingcomputer.com/news/security/capital-one-data-breach-affects-106-million-people-suspect-arrested/

3、VxWorks建复11个安全缝隙，影响超过20亿台设备

GA黄金甲·(中国区)官方网站

Armis钻研人员在VxWorks RTOS中发现11个安全缝隙，这些缝隙影响了航空航天、国防、工业、医疗、汽车、消费电子等领域的20多亿台设备。这些缝隙被统称为URGENT/11，可允许远程攻击者绕过传统的安全解决规划并齐全节造受影响的设备或类似永恒之蓝一样导致大规模的设备中断，并且无需用户交互。这些缝隙存在于VxWorks 6.5之后的TCP/IP和谈栈中，影响了从前13年来颁布的所有VxWorks版本。该公司已经在上个月颁布了建复补丁，但这些补丁通过设备厂商达到消费者可能还必要肯定的功夫。

原文链接：https://thehackernews.com/2019/07/vxworks-rtos-vulnerability.html

4、Amcrest家用摄像头严沉缝隙，可允许攻击者远程监听用户

GA黄金甲·(中国区)官方网站

安全厂商Tenable发现Amcrest IP2M-841B家用摄像头存在一个严沉缝隙，可允许攻击者通过HTTP远程监听摄像头的音频输入。该缝隙被象征为CVE-2019-3948，影响了摄像头固件版本V2.520.AC00.18.R，并且无需身份验证即可利用。此表，该产品也易受身份验证绕过缝隙（CVE-2017-7927）攻击。Amcrest已经颁布有关建复补丁。

原文链接：https://www.zdnet.com/article/iot-home-security-camera-allows-hackers-to-listen-in-over-http/

5、智利1430万公民信息泄露，占全国总人丁近80%

GA黄金甲·(中国区)官方网站

Wizcase钻研团队发现一个Elasticsearch数据库露出了超过1430万智利公民的选举信息，占该国总人丁的近80%。这些信息蕴含姓名、家庭住址、性别、春秋和纳税号码。智利选举服务Servel的讲话人确认了这些数据的真实性，但否定该服务器属于他们。该讲话人暗示这些信息对应于2017年的数据，可能是第三方从其网站上网络汇总得来。

原文链接：https://www.zdnet.com/article/voter-records-for-80-of-chiles-population-left-exposed-online/

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2019年第30周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线