信息清静周报-2021年第49周

首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2021年第49周

宣布时间 2021-12-06

>本周清静态势综述

本周共收录清静误差58个，，，，，，，值得关注的是Dell Emc Streaming Data Platform sql注入误差；；；EFM ipTIME C200 IP Camera恣意下令执行误差；；；ohmyzsh rand-quote和hitokoto插件恣意下令执行误差；；；Open Solutions For Education openSIS GetStuListFnc.php SQL注入误差；；；Sunnet eHRD会见控制代码执行误差。。。

本周值得关注的网络清静事务是TP-Link修复其Wi-Fi 6路由器中的代码执行误差；；；IEEE宣布2022年及未来十年要害手艺的展望报告；；；日本电器公司松下确认长达4个月之久数据泄露事务；；；暗网市场Cannazon遭到大规模DDoS攻击后永世关闭；；；Kaspersky披露APT37使用Chinotto攻击韩国的活动。。。

凭证以上综述，，，，，，，本周清静威胁为中。。。

>主要清静误差列表

1. Dell Emc Streaming Data Platform sql注入误差

Dell Emc Streaming Data Platform保存sql注入误差，，，，，，，允许远程攻击者可以使用误差提交特殊的SQL请求，，，，，，，操作数据库，，，，，，，可获取敏感信息或执行恣意代码。。。

https://www.dell.com/support/kbdoc/zh-cn/000193697/dsa-2021-205-dell-emc-streaming-data-platform-security-update-for-third-party-vulnerabilities

2. EFM ipTIME C200 IP Camera恣意下令执行误差

EFM ipTIME C200 IP Camera与ipTIME NAS同步时保存清静误差，，，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，，，可以应用程序上下文执行恣意代码。。。

http://iptime.com/iptime/?page_id=126&diffid=&dfsid=19&dftid=541

3. ohmyzsh rand-quote和hitokoto插件恣意下令执行误差

ohmyzsh rand-quote和hitokoto插件保存清静误差，，，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，，，可以应用程序上下文执行恣意代码。。。

https://github.com/ohmyzsh/ohmyzsh/commit/72928432

4. Open Solutions For Education openSIS GetStuListFnc.php SQL注入误差

Open Solutions For Education openSIS GetStuListFnc.php保存sql注入误差，，，，，，，允许远程攻击者可以使用误差提交特殊的SQL请求，，，，，，，操作数据库，，，，，，，可获取敏感信息或执行恣意代码。。。

https://github.com/OS4ED/openSIS-Classic/issues/202

5. Sunnet eHRD会见控制代码执行误差

Sunnet eHRD未准确限制来自未授权角色的资源会见，，，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，，，可以应用程序上下文执行恣意代码。。。

https://www.twcert.org.tw/tw/cp-132-5354-0aac0-1.html

>主要清静事务综述

1、TP-Link修复其Wi-Fi 6路由器中的代码执行误差

Resecurity研究职员TP-Link的装备中保存远程代码执行误差。。。受影响装备的型号为TL-XVR1800L，，，，，，，是企业级AX1800双频千兆Wi-Fi 6无线VPN路由器。。。攻击者可使用该误差完全控制装备或窃取敏感数据，，，，，，，它可能还保存于统一系列的其他装备中。。。Resecurity在10月上旬发明了针对该装备的攻击活动，，，，，，，并于11月19日通知了TP-Link，，，，，，，TP-Link在第二天确认了该误差并允许会在一周内宣布补丁。。。

原文链接：

https://securityaffairs.co/wordpress/125016/hacking/0-day-tp-link-wi-fi-6.html

2、IEEE宣布2022年及未来十年要害手艺的展望报告

IEEE在近期宣布了未来要害手艺的展望报告。。。报告视察了来自美国、英国、中国、印度和巴西的350位CTO、CIO和IT总监，，，，，，，展望了2022年最主要的手艺、来年受手艺影响最大的行业以及未来十年的手艺趋势。。。21%的受访者以为人工智能和机械学习将成为明年最主要的手艺，，，，，，，其次为云盘算(20%)和5G(17%)；；；25%的人以为制造业会是2022年受手艺影响最大的行业，，，，，，，其次为金融效劳(19%)、医疗保健(16%)和能源(13%)行业。。。

原文链接：

https://transmitter.ieee.org/impact-of-technology-2022/

3、日本电器公司松下确认长达4个月之久数据泄露事务

日本跨国公司松下Panasonic在上周五宣布声明，，，，，，，确认其部分数据已经泄露。。。攻击爆发在6月22日，，，，，，，但直到11月11日才被发明。。。经由内部视察确定，，，，，，，攻击者已在这4个月中会见了效劳器上的部分数据。。。该公司没有提供其它详细信息，，，，，，，但日本新闻网站Mainichi和NHK报道称，，，，，，，攻击者已经获得了公司手艺、相助同伴及公司员工等相关信息。。。早在2020年11月，，，，，，，松下印度分公司曾因网络攻击泄露了财务等相关信息。。。

原文链接：

https://www.bleepingcomputer.com/news/security/panasonic-discloses-data-breach-after-network-hack/

4、暗网市场Cannazon遭到大规模DDoS攻击后永世关闭

2021年11月23日，，，，，，，暗网市场Cannazon的治理员宣布将永世关闭该网站。。。据悉，，，，，，，该网站在11月初遭到了大规模DDoS攻击，，，，，，，治理员通过镌汰订单数目和关闭部分系统以缓解问题。。。但这在社区中引起了惊动，，，，，，，用户担心这是一场退出圈套。。。治理员在宣布关闭通告时，，，，，，，关于这种处置惩罚要领体现歉意，，，，，，，称没有果真攻击活动是为了保�；；び没Ш蜕缜�，，，，以避免供应商试图发动加密钱币退出圈套。。。

原文链接：

https://www.bleepingcomputer.com/news/security/dark-web-market-cannazon-shuts-down-after-massive-ddos-attack/

5、Kaspersky披露APT37使用Chinotto攻击韩国的活动

Kaspersky在11月29日披露朝鲜黑客组织APT37（又称ScarCruft或Temp.Reaper）在近期的攻击活动。。。ScarCruft从2012年最先活跃，，，，，，，主要针对韩国的官方机构或公司。。。此次活动最先于2021年8月，，，，，，，初始熏染前言是鱼叉式垂纶活动，，，，，，，之后使用IE浏览器中的两个误差在韩国的网站中装置自界说恶意软件BLUELIGHT，，，，，，，提倡水坑攻击。。。�；；疃故褂昧硕褚馊砑﨏hinotto，，，，，，，它具有针对PowerShell、Windows和Android的多个变体。。。

原文链接：

https://securelist.com/scarcruft-surveilling-north-korean-defectors-and-human-rights-activists/105074/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究