GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第35周

颁布功夫 2020-09-01

> 本周安全态势综述

2020年08月24日至30日共收录安全缝隙55个，值得关注的是Red Lion N-Tron未明接口缝隙；FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource反序列化缝隙；Advantech iView DeviceTreeTable exportTaskMgrReport目录遍历代码执行缝隙；Foxit Studio Photo PSD越界写代码执行缝隙; Moog EXO Series EXVF5C-2治理节造台'statusbroadcast'肆意号令执行缝隙。

本周值得关注的网络安全事务是Cisco颁布安全更新，建复多个产品中的缝隙；Claroty颁布2020年上半年ICS缝隙分析汇报；印度游览网站RailYatri因数据库配置谬误泄露3700万笔纪录；微软建复Azure Sphere IoT平台中的4个缝隙；Cisco前员工认罪删除WebEx Teams的400多台虚构机。

凭据以上综述，本周安全威胁为中。

> 沉要安全缝隙列表

1.Red Lion N-Tron未明接口缝隙

Red Lion N-Tron存在未文档化接口缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，以ROOT权限执行肆意号令。

https://us-cert.cisa.gov/ics/advisories/icsa-20-240-01

2. FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource反序列化缝隙

FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource存在序列化缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，能够利用法式高低文执行肆意代码。

https://github.com/FasterXML/jackson-databind/issues/2814

3. Advantech iView DeviceTreeTable exportTaskMgrReport目录遍历代码执行缝隙

Advantech iView DeviceTreeTable exportTaskMgrReport存在目录遍历缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，能够利用法式高低文读取系统文件或者执行肆意代码。

https://www.zerodayinitiative.com/advisories/ZDI-20-1084/

4. Foxit Studio Photo PSD越界写代码执行缝隙

Foxit Studio Photo解析PSD文件存在越界写缝隙，允许远程攻击者能够利用缝隙提交特殊的文件要求，诱使用户解析，能够系统高低文执行肆意代码。

https://www.zerodayinitiative.com/advisories/ZDI-20-1078/

5. Moog EXO Series EXVF5C-2治理节造台'statusbroadcast'肆意号令执行缝隙

Moog EXO Series EXVF5C-2治理节造台'statusbroadcast'存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，使用'${IFS}'变量绕过限度，能够root权限执行肆意号令。

https://ioactive.com/moog-exo-series-multiple-vulnerabilities/

> 沉要安全事务综述

1、Cisco颁布安全更新，建复多个产品中的缝隙

Cisco颁布安全更新，以建复其多个产品中的缝隙。这次安全更新中建复的较为严沉的缝隙为Treck IP仓库中的缝隙Ripple20，这些缝隙可导致远程执行代码、回绝服务（DoS）或信息泄露；用于Cisco ENCS 5400-W系列和CSP 5000-W系列的Cisco vWAAS默认痛处缝隙（CVE-2020-3446），可被利用以治理员权限接见NFVIS CLI；思科智能软件治理器（SSM On-Prem）本地特权升级缝隙（CVE-2020-3443）以及思科视频监控8000系列IP摄像机思科发现和谈远程执行和回绝服务缝隙（CVE-2020-3506和CVE-2020-3507）。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/08/20/cisco-releases-security-updates

2、Claroty颁布2020年上半年ICS缝隙分析汇报

工业网络安全公司Claroty颁布2020年上半年ICS缝隙分析汇报。Claroty分析了新增长到国度缝隙数据库（NVD）中的365个ICS缝隙以及ICS-CERT（CISA）颁布的传递中涵盖的385个缝隙。与2019年同期披露的缝隙数量相比，2020年上半年新增到NVD中的缝隙数量约莫多出10％。在所识此外缝隙中，有70％以上的缝隙可被远程利用，有将近一半可用于远程执行代码，其中41％的缝隙可让攻击者读取利用法式数据，39％的缝隙可用于DoS攻击，37％的缝隙可绕过安全机造。

原文链接：

https://www.securityweek.com/over-70-ics-vulnerabilities-disclosed-first-half-2020-remotely-exploitable

3、印度游览网站RailYatri因数据库配置谬误泄露3700万笔纪录

SafetyDetectives 8月10日在网络上发现了RailYatri的没有密码�；さ腅lasticsearch服务器，泄露3700万笔纪录客户和公司数据，蕴含用户的全名、春秋、性别、现实和电子邮件地址、手机号码、预约具体信息、GPS地位以及姓名/支付卡的前四位和后四位。而在该公司对其数据进行�；ぶ�，Meow机械人于8月12日对其产生攻击，删除了除1GB之表的所罕见据（总共43 GB）。

原文链接：

https://www.infosecurity-magazine.com/news/travel-site-exposed-37m-records/

4、微软建复Azure Sphere IoT平台中的4个缝隙

微软颁布缝隙补丁，建复Azure Sphere IoT平台中的4个缝隙。这次颁布的补丁法式建复了2个远程代码执行缝隙和2个提权缝隙，这些缝隙都是由Cisco Talos的安全钻研人员于7月份发现。第一个为READ_IMPLIES_EXEC personality未署名代码执行缝隙，第二个RCE缝隙存在于/proc/thread-self/ mem中。此表，权限接见节造职能中存在一个提权缝隙，而第二个提权缝隙存在于Azure Sphere 20.06的uid_map职能中。微软暗示会确保解决这些问题并为客户提供更新，但是回绝颁布任何CVEs。

原文链接：

https://threatpost.com/four-more-bugs-patched-in-microsofts-azure-sphere-iot-platform/158643/

5、Cisco前员工认罪删除WebEx Teams的400多台虚构机

思科前员工Sudhish Kasaba Ramesh认罪其删除了WebEx Teams的400多台虚构机。据其认罪和谈中称，其认可在去职5个月后的2018年9月24日，未经公司的许可有意接见思科的云基础架构，并从其自己的Google Cloud Project帐户中部署了一个代码，删除了思科WebEx Teams利用法式的456个虚构机。据悉，该事务导致16000个WebEx Teams帐户被关关了长达两个星期，Cisco破费了约莫140万美元来复原其利用受到的侵害，并向受影响的客户退还了超过100万美元的款子。

原文链接：

https://threatpost.com/ex-cisco-employee-pleads-guilty-to-deleting-16k-webex-teams-accounts/158748/

上一篇下一篇

7*24幼时服务热线

400-624-3900

04152424g9z1

官方微信

12145445s033

官方微博

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】