鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2020年第35周

宣布时间 2020-09-01

> 本周清静态势综述

2020年08月24日至30日共收录清静误差55个，，，，值得关注的是Red Lion N-Tron未明接口误差；；；；；；FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource反序列化误差；；；；；；Advantech iView DeviceTreeTable exportTaskMgrReport目录遍历代码执行误差；；；；；；Foxit Studio Photo PSD越界写代码执行误差; Moog EXO Series EXVF5C-2治理控制台'statusbroadcast'恣意下令执行误差。。。。

本周值得关注的网络清静事务是Cisco宣布清静更新，，，，修复多个产品中的误差；；；；；；Claroty宣布2020年上半年ICS误差剖析报告；；；；；；印度旅游网站RailYatri因数据库设置过失泄露3700万条纪录；；；；；；微软修复Azure Sphere IoT平台中的4个误差；；；；；；Cisco前员工认罪删除WebEx Teams的400多台虚拟机。。。。

凭证以上综述，，，，本周清静威胁为中。。。。

> 主要清静误差列表

1.Red Lion N-Tron未明接口误差

Red Lion N-Tron保存未文档化接口误差，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，以ROOT权限执行恣意下令。。。。

https://us-cert.cisa.gov/ics/advisories/icsa-20-240-01

2. FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource反序列化误差

FasterXML jackson-databind br.com.anteros.dbcp.AnterosDBCPDataSource保存序列化误差，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，可以应用程序上下文执行恣意代码。。。。

https://github.com/FasterXML/jackson-databind/issues/2814

3. Advantech iView DeviceTreeTable exportTaskMgrReport目录遍历代码执行误差

Advantech iView DeviceTreeTable exportTaskMgrReport保存目录遍历误差，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，可以应用程序上下文读取系统文件或者执行恣意代码。。。。

https://www.zerodayinitiative.com/advisories/ZDI-20-1084/

4. Foxit Studio Photo PSD越界写代码执行误差

Foxit Studio Photo剖析PSD文件保存越界写误差，，，，允许远程攻击者可以使用误差提交特殊的文件请求，，，，诱使用户剖析，，，，可以系统上下文执行恣意代码。。。。

https://www.zerodayinitiative.com/advisories/ZDI-20-1078/

5. Moog EXO Series EXVF5C-2治理控制台'statusbroadcast'恣意下令执行误差

Moog EXO Series EXVF5C-2治理控制台'statusbroadcast'保存清静误差，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，使用'${IFS}'变量绕过限制，，，，可以root权限执行恣意下令。。。。

https://ioactive.com/moog-exo-series-multiple-vulnerabilities/

> 主要清静事务综述

1、Cisco宣布清静更新，，，，修复多个产品中的误差

Cisco宣布清静更新，，，，以修复其多个产品中的误差。。。。此次清静更新中修复的较为严重的误差为Treck IP客栈中的误差Ripple20，，，，这些误差可导致远程执行代码、拒绝效劳（DoS）或信息泄露；；；；；；用于Cisco ENCS 5400-W系列和CSP 5000-W系列的Cisco vWAAS默认凭证误差（CVE-2020-3446），，，，可被使用以治理员权限会见NFVIS CLI；；；；；；思科智能软件治理器（SSM On-Prem）外地特权升级误差（CVE-2020-3443）以及思科视频监控8000系列IP摄像机思科发明协议远程执行和拒绝效劳误差（CVE-2020-3506和CVE-2020-3507）。。。。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/08/20/cisco-releases-security-updates

2、Claroty宣布2020年上半年ICS误差剖析报告

工业网络清静公司Claroty宣布2020年上半年ICS误差剖析报告。。。。Claroty剖析了新添加到国家误差数据库（NVD）中的365个ICS误差以及ICS-CERT（CISA）宣布的转达中涵盖的385个误差。。。。与2019年同期披露的误差数目相比，，，，2020年上半年新增到NVD中的误差数目约莫多出10％。。。。在所识别的误差中，，，，有70％以上的误差可被远程使用，，，，有快要一半可用于远程执行代码，，，，其中41％的误差可让攻击者读取应用程序数据，，，，39％的误差可用于DoS攻击，，，，37％的误差可绕过清静机制。。。。

原文链接：

https://www.securityweek.com/over-70-ics-vulnerabilities-disclosed-first-half-2020-remotely-exploitable

3、印度旅游网站RailYatri因数据库设置过失泄露3700万条纪录

SafetyDetectives 8月10日在网络上发明了RailYatri的没有密码�；；；；；；さ腅lasticsearch效劳器，，，，泄露3700万条纪录客户和公司数据，，，，包括用户的全名、年岁、性别、现实和电子邮件地点、手机号码、预订详细信息、GPS位置以及姓名/支付卡的前四位和后四位。。。。而在该公司对其数据举行�；；；；；；ぶ�，，，，Meow机械人于8月12日对其爆发攻击，，，，删除了除1GB之外的所有数据（总共43 GB）。。。。

原文链接：

https://www.infosecurity-magazine.com/news/travel-site-exposed-37m-records/

4、微软修复Azure Sphere IoT平台中的4个误差

微软宣布误差补丁，，，，修复Azure Sphere IoT平台中的4个误差。。。。此次宣布的补丁程序修复了2个远程代码执行误差和2个提权误差，，，，这些误差都是由Cisco Talos的清静研究职员于7月份发明。。。。第一个为READ_IMPLIES_EXEC personality未署名代码执行误差，，，，第二个RCE误差保存于/proc/thread-self/ mem中。。。。别的，，，，权限会见控制功效中保存一个提权误差，，，，而第二个提权误差保存于Azure Sphere 20.06的uid_map功效中。。。。微软体现会确保解决这些问题并为客户提供更新，，，，可是拒绝宣布任何CVEs。。。。

原文链接：

https://threatpost.com/four-more-bugs-patched-in-microsofts-azure-sphere-iot-platform/158643/

5、Cisco前员工认罪删除WebEx Teams的400多台虚拟机

思科前员工Sudhish Kasaba Ramesh认罪其删除了WebEx Teams的400多台虚拟机。。。。据其认罪协议中称，，，，其认可在去职5个月后的2018年9月24日，，，，未经公司的允许有意会见思科的云基础架构，，，，并从其自己的Google Cloud Project帐户中安排了一个代码，，，，删除了思科WebEx Teams应用程序的456个虚拟机。。。。据悉，，，，该事务导致16000个WebEx Teams帐户被关闭了长达两个星期，，，，Cisco破费了约莫140万美元来恢复其应用受到的损害，，，，并向受影响的客户退还了凌驾100万美元的款子。。。。

原文链接：

https://threatpost.com/ex-cisco-employee-pleads-guilty-to-deleting-16k-webex-teams-accounts/158748/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】