首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第37周

颁布功夫 2019-09-23

> 本周安全态势综述

2019年9月16日至22日共收录安全缝隙43个，值得关注的是Fastjson<=1.2.60远程代码执行缝隙；e-cology远程代码执行缝隙；CODESYS V3 Web Server栈溢露马脚；VMware ESXi 'busybox'号令注入缝隙；Schneider Electric BMXNOR0200H Ethernet/Serial RTU module回绝服务缝隙。

本周值得关注的网络安全事务是厄瓜多尔大部门公民隐衷泄露，蕴含670万儿童信息；狮子航空公司数千万用户纪录在暗网泄露；MITRE颁布2019年CWE最危险软件谬误列表Top25；AMD Radeon驱动法式被曝存在虚构机逃逸缝隙；三星和LG智能设备将用户敏感数据发送到合作公司。

凭据以上综述，本周安全威胁为中。

> 沉要安全缝隙列表

1. Fastjson<=1.2.60远程代码执行缝隙

Fastjson存在反序列化缝隙，允许远程攻击者利用缝隙提交特殊的要求，可使利用法式崩�；蛑葱兴烈獯�。

https://github.com/alibaba/fastjson/commit/05a7aa7f748115018747f7676fd2aefdc545d17a

2. e-cology远程代码执行缝隙

e-cology BeanShell组件存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，可执行肆意号令。

https://help.aliyun.com/noticelist/articleid/1060057523.html?spm=5176.2020520154.sas.20.36a91e43Zt9Vx7

3. CODESYS V3 Web Server栈溢露马脚

CODESYS V3 Web Servers存在栈溢露马脚，允许远程攻击者能够利用缝隙提交特殊的要求，可执行肆意代码或使利用法式崩溃。

https://www.codesys.com/fileadmin/data/customers/security/2019/Advisory2019-06_CDS-64543.pdf

4. VMware ESXi 'busybox'号令注入缝隙

VMware ESXi 'busybox'处置文件名存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可执行肆意号令。

https://www.vmware.com/security/advisories/VMSA-2019-0013.html

5. Schneider Electric BMXNOR0200H Ethernet/Serial RTU module回绝服务缝隙

Schneider Electric BMXNOR0200H Ethernet/Serial RTU module处置大量IEC 60870-5-104报文存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可使利用法式崩溃。

https://www.schneider-electric.com/en/download/document/SEVD-2019-225-03/

> 沉要安全事务综述

1、厄瓜多尔大部门公民隐衷泄露，蕴含670万儿童信息

GA黄金甲·(中国区)官方网站

钻研人员发现一家本地公司Novaestrat的Elasticsearch服务器露出了厄瓜多尔大无数公民的隐衷信息。厄瓜多尔的人丁基数为1660万，而该数据库蕴含近2080万条用户纪录，超过了该国的人丁数据，其原因是数据库中蕴含一些沉复纪录和殒命公民的纪录。泄露的数据蕴含姓名、家庭成员/家族树、公民注册数据、财政及工作信息、车辆信息等。数据库中还蕴含当局员工信息和677万儿童信息，以及700万条财政纪录和250万条车辆纪录。

原文链接：

https://www.zdnet.com/article/database-leaks-data-on-most-of-ecuadors-citizens-including-6-7-million-children/

2、狮子航空公司数千万用户纪录在暗网泄露

GA黄金甲·(中国区)官方网站

狮子航空旗下两家航空公司的数千万条搭客纪录在暗网论坛上泄露。这些数据存储在可公开接见的Amazon存储桶中，共有两个数据库，一个蕴含2100万笔纪录，另一个蕴含1400万笔纪录，该目录下还蕴含2019年5月份创建的备份文件，重要属于Malindo Air和Thai Lion Air。另一个备份文件的名称是Batik Air，该公司的母公司也是狮子航空。泄露的信息蕴含搭客的预约ID、居住地址、电话号码、邮箱地址、姓名、诞生日期、护照号码和到期日期等。目前还不明显这些数据初次泄露的功夫，但据称至少从8月10日起该数据库已在论坛上流通。

原文链接：

https://www.bleepingcomputer.com/news/security/millions-of-lion-air-passenger-records-exposed-and-exchanged-on-forums/

3、MITRE颁布2019年CWE最危险软件谬误列表Top25

GA黄金甲·(中国区)官方网站

非投机组织MITER颁布2019年最危险的软件缝隙和谬误列表Top25。凭据MITRE，最危险的软件谬误是CWE-119，它被描述为“对内存缓冲区天堑内操作的不正确限度”，即缓冲区溢出导致的越界读或写。排在第二位的是CWE-79，被描述为“网页天生期间输入造成的不正确反映”，即XSS攻击。第三名则是CWE-20，即“不正确的输入验证”。该列表是基于MITER数据库中的CVE数据及NVD数据库和CVSS获得的信息，总共有约莫2.5万个CVE提供了源数据。齐全列表请参考以下链接。

原文链接：

https://www.zdnet.com/article/these-software-vulnerabilities-top-mitres-most-dangerous-list-in-2019/

4、AMD Radeon驱动法式被曝存在虚构机逃逸缝隙

思科Talos披露AMD ATI Radeon ATIDXX64.DLL驱动法式中的虚构机逃逸缝隙。该缝隙存在于AMD Radeon RX 550及550系列显卡中，并且只能在运行VMWare Workstation 15时触发。钻研人员诠释称，可在VMware虚构机系统中通过恶意像素着色器在AMD ATIDXX64.DLL驱动法式中触发内存越界写入，这可能会触发VMware来宾模式的缝隙，从而在宿主机上执行代码。该缝隙影响了ATIDXX64.DLL驱动法式版本25.20.15031.5004和25.20.15031.9002。该缝隙（CVE-2019-5049）的CVSS评分为9.0。

原文链接：

https://threatpost.com/amd-radeon-cards-vmware-workstations/148406/

5、三星和LG智能设备将用户敏感数据发送到合作公司

GA黄金甲·(中国区)官方网站

钻研人员发现即便是在设备闲置时，三星、LG和Roku等公司的智能电视也会向合作的科技公司发送敏感的用户数据。凭据两个团队的独立钻研，智能电视的OTT平台会将用户的敏感数据泄露给Facebook、亚马逊、谷歌和Netflix等公司。第一份汇报钻研了81台设备，发现有72台设备将数据发送到非造作商的其它公司。第二份汇报发现从智能电视发送的数据也与谷歌和Facebook治理的跟踪器有关，钻研人员称89%的Amazon Fire TV频路和69%的Roku频路都蕴含用于跟踪用户收看习惯和偏好信息的跟踪器。这些跟踪器还能够鉴别设备和使用地位，蕴含设备序列号和ID、Wi-Fi名称和MAC地址等。

原文链接：

https://threatpost.com/smart-tvs-leak-data/148482/

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2019年第37周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线