首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2019年第30周

宣布时间 2019-08-05

> 本周清静态势综述

2019年7月29日至8月04日共收录清静误差50个，值得关注的是Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP密码更改下令注入误差；Puppet Enterprise PE's express install默认密码误差；Wind River Systems VxWorks IP选项剖析缓冲区溢出误差；Polycom UC Software上传文件代码执行误差；cPanel SQL注入误差。

本周值得关注的网络清静事务是纽约通过新数据泄露通知法案，数据羁系再次升级；Capital One泄露1.06亿用户信息，嫌疑人已被捕；VxWorks修复11个清静误差，影响凌驾20亿台装备；Amcrest家用摄像头严重误差，可允许攻击者远程监听用户；智利1430万公民信息泄露，占天下总生齿近80%。

凭证以上综述，本周清静威胁为中。

> 主要清静误差列表

1. Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP密码更改下令注入误差

Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP 密码更改界面更改密码处置惩罚保存清静误差，允许远程攻击者可以使用误差提交特殊的请求，可执行恣意OS下令。

https://www.sit.fraunhofer.de/fileadmin/dokumente/CVE/Advisory_Alcatel_8008CloudEditionDeskPhone.pdf?_=1559026340

2. Puppet Enterprise PE's express install默认密码误差

Puppet Enterprise PE's express install保存默认密码误差，允许远程攻击者可以使用误差提交特殊的请求，可未授权会见。
https://puppet.com/security/cve/CVE-2019-10694

3. Wind River Systems VxWorks IP选项剖析缓冲区溢出误差

Wind River Systems VxWorks IP选项处置惩罚保存缓冲区溢出误差，允许远程攻击者可以使用误差提交特殊的请求，可使应用程序崩�；蛑葱许б獯�。
https://www.us-cert.gov/ics/advisories/icsa-19-211-01

4. Polycom UC Software上传文件代码执行误差

Polycom UC Software上传文件保存清静误差，允许远程攻击者可以使用误差提交特殊的请求，可执行恣意代码。
https://support.polycom.com/content/dam/polycom-support/global/documentation/remote-code-execution-vulnerability-in-ucs-software-v1-0.pdf

5. cPanel SQL注入误差

cPanel保存SQL注入误差，允许远程攻击者可以使用误差提交特殊的SQL请求，操作数据库，可获取敏感信息或执行恣意代码。
https://documentation.cpanel.net/display/CL/58+Change+Log

> 主要清静事务综述

1、纽约通过新数据泄露通知法案，数据羁系再次升级

优发国际·随优而动一触即发

纽约州州长Andrew M. Cuomo克日签署了一项新的数据泄露通知法案，该法案的名称为“阻止黑客及刷新电子数据清静”，即SHIELD法案，旨在�；づυ脊竦囊绞莶⒃銮扛弥莸氖菪孤墩�。该法案扩大了小我私家信息的规模，将生物识别信息、电子邮件地点及密码、清静问题及谜底列入其中。该法案还增添了民事处分，并将通知要求应用于任何拥有纽约公民隐私信息的小我私家或实体，而不但仅是在纽约州开展营业的实体。该法案还将提供身份偷窃�；し裥慈胫捶�，要求CRA在爆发涉及社会清静号码的数据泄露后必需向消耗者提供合理的�；し�。

原文链接：https://www.bleepingcomputer.com/news/security/new-york-passes-law-to-update-data-breach-notification-requirements/

2、Capital One泄露1.06亿用户信息，嫌疑人已被捕

优发国际·随优而动一触即发

Capital One确认其系统于3月22日至23日时代遭未授权会见，导致1.06亿用户的信息泄露，包括生意数据、信用评分、支付历史、余额以及关联的银行账户和社会清静号码。受影响的用户包括1亿美国人和600万加拿大人。凭证相关证据，FBI已经拘捕了嫌疑人Paige Thompson。Capital One体现由于客户通知、免费的信用监控服务、清静刷新本钱以及执法用度，这一事务将导致约1亿至1.5亿美元的本钱。

原文链接：https://www.bleepingcomputer.com/news/security/capital-one-data-breach-affects-106-million-people-suspect-arrested/

3、VxWorks修复11个清静误差，影响凌驾20亿台装备

优发国际·随优而动一触即发

Armis研究职员在VxWorks RTOS中发明11个清静误差，这些误差影响了航空航天、国防、工业、医疗、汽车、消耗电子等领域的20多亿台装备。这些误差被统称为URGENT/11，可允许远程攻击者绕过古板的清静解决计划并完全控制受影响的装备或类似永恒之蓝一样导致大规模的装备中止，并且无需用户交互。这些误差保存于VxWorks 6.5之后的TCP/IP协议栈中，影响了已往13年来宣布的所有VxWorks版本。该公司已经在上个月宣布了修复补丁，但这些补丁通过装备厂商抵达消耗者可能还需要一定的时间。

原文链接：https://thehackernews.com/2019/07/vxworks-rtos-vulnerability.html

4、Amcrest家用摄像头严重误差，可允许攻击者远程监听用户

优发国际·随优而动一触即发

清静厂商Tenable发明Amcrest IP2M-841B家用摄像头保存一个严重误差，可允许攻击者通过HTTP远程监听摄像头的音频输入。该误差被标记为CVE-2019-3948，影响了摄像头固件版本V2.520.AC00.18.R，并且无需身份验证即可使用。别的，该产品也易受身份验证绕过误差（CVE-2017-7927）攻击。Amcrest已经宣布相关修复补丁。

原文链接：https://www.zdnet.com/article/iot-home-security-camera-allows-hackers-to-listen-in-over-http/

5、智利1430万公民信息泄露，占天下总生齿近80%

优发国际·随优而动一触即发

Wizcase研究团队发明一个Elasticsearch数据库袒露了凌驾1430万智利公民的选举信息，占该国总生齿的近80%。这些信息包括姓名、家庭住址、性别、年岁和纳税号码。智利选举服务Servel的讲话人确认了这些数据的真实性，但否定该服务器属于他们。该讲话人体现这些信息对应于2017年的数据，可能是第三方从其网站上网络汇总得来。

原文链接：https://www.zdnet.com/article/voter-records-for-80-of-chiles-population-left-exposed-online/

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

信息清静周报-2019年第30周

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

服务热线