首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2019年第46周

宣布时间 2019-11-25

>本周清静态势综述

2019年11月18日至24日共收录清静误差50个，值得关注的是Apache Solr solr.in.sh远程代码执行误差; Apache Shiro "remember me" Oracle Padding攻击误差；ISC BIND TCP客户端数目限制拒绝服务误差；Fortinet FortiOS SSL VPN门户拒绝服务误差；Qualcomm QCA6174_9377 Bluetooth HOST权限提升误差。

本周值得关注的网络清静事务是NowSecure披露Android libpac库中的RCE误差；Android相机误差可神秘照相及录制视频；黑客在网上宣布开曼银行的2TB数据；WordPress Jetpack插件误差影响数百万网站；Oracle EBS会见控制不当误差影响上万家企业。

凭证以上综述，本周清静威胁为中。

>主要清静误差列表

1. Apache Solr solr.in.sh远程代码执行误差
Apache Solr没有清静地设置默认solr.in.sh设置文件的ENABLE_REMOTE_JMX_OPTS设置选项，允许远程攻击者使用误差提交特殊的请求，未授权上传代码并执行。
https://lists.apache.org/thread.html/6640c7e370fce2b74e466a605a46244ccc40666ad9e3064a4e04a85d@%3Csolr-user.lucene.apache.org%3E

2. Apache Shiro "remember me" Oracle Padding攻击误差
Apache Shiro "remember me"保存Oracle Padding误差，允许远程攻击者使用误差提交特殊的请求，可获取敏感信息。
https://lists.apache.org/thread.html/c9db14cfebfb8e74205884ed2bf2e2b30790ce24b7dde9191c82572c@%3Cdev.shiro.apache.org%3E

3. ISC BIND TCP客户端数目限制拒绝服务误差
ISC BIND TCP客户端数目限制处置惩罚保存清静误差，允许远程攻击者可以使用误差提交单个链接上通过一个TCP客户端发送大宗DNS请求，可使系统瓦解。
https://access.redhat.com/security/cve/cve-2019-6477

4. Fortinet FortiOS SSL VPN门户拒绝服务误差
Fortinet FortiOS SSL VPN保存输入验证误差，允许远程攻击者可以使用误差提交特殊的请求，可使SSL VPN服务瓦解。
https://www.auscert.org.au/bulletins/ESB-2019.4388/

5. Qualcomm QCA6174_9377 Bluetooth HOST权限提升误差
Qualcomm QCA6174_9377 Bluetooth HOST权限处置惩罚保存清静误差，允许低权限攻击者可以使用误差提交特殊的请求，写恶意注册数据，提升权限。
https://www.qualcomm.com/company/product-security/bulletins/october-2019-bulletin

>主要清静事务综述

1、NowSecure披露Android libpac库中的RCE误差

优发国际·随优而动一触即发

NowSecure研究职员发明Android系统使用的libpac库中保存RCE误差（CVE-2019-2205）。libpac是一个基于Chromium项目代码的库，该库使用静态链接的V8 JS引擎来剖析JavaScript，这为平台应用程序带来了重大的攻击面。研究职员发明JS函数FindProxyForUrl上下文中的ArrayBuffers分派器声明不准确，可致栈上的VPTR被笼罩，这可能被用于执行恣意代码。谷歌在11月Android清静更新中修复了该误差。

原文链接：
https://www.nowsecure.com/blog/2019/11/13/nowsecure-discovers-critical-android-vuln-that-may-lead-to-remote-code-execution/

2、Android相机误差可神秘照相及录制视频

优发国际·随优而动一触即发

Checkmarx的研究职员在Android相机应用中发明一个新误差，即APP可在没有权限的情形下照相、录制视频或获取装备的位置。该误差（CVE-2019-2234）相当危险，由于它可以使APP在手机锁屏的状态下神秘照相和录像，也可以从存储的照片中提取GPS位置数据，还可以将这些数据发送回攻击者的远程服务器。凭证Google的说法，相机应用已于2019年7月通过Google Play市肆更新修复了此误差。

原文链接：
https://www.bleepingcomputer.com/news/security/android-camera-app-bug-lets-apps-record-video-without-permission/

3、黑客在网上宣布开曼银行的2TB数据

优发国际·随优而动一触即发

黑客从开曼银行窃取了2TB的数据并宣布在网上。据称这些数据是由黑客或黑客团伙Phineas Fisher窃取的，并通过Distributed Denial of Secrets项目宣布。数据集中包括开曼银行为其全球客户治理的凌驾3800家公司、信托和小我私家账户的详细财务信息，甚至包括账户余额�？胁⑽慈峡墒菪孤�，但清静专家注重到其许多服务于11月17日因“重大升级和维护”而处于不可用状态。

原文链接：
https://securityaffairs.co/wordpress/94136/data-breach/cayman-national-bank-data-leak.html

4、WordPress Jetpack插件误差影响数百万网站

优发国际·随优而动一触即发

Jetpack开发团队鞭策WordPress网站治理员连忙应用Jetpack 7.9.1要害清静更新，以修复一个要害误差。虽然该团队没有披露有关该误差的详细信息，但凭证Jetpack的通告，该误差影响了从5.1到2017年7月以来的所有版本�？⒅霸碧逑置挥蟹⒚鞲梦蟛畋灰巴馐褂玫闹ぞ�。Jetpack是一个受接待的WordPress插件，它为治理员提供免费的清静性和站点治理功效，该插件的活跃装置量为凌驾500万，开发团队体现已有凌驾400万网站装置了更新。

原文链接：
https://www.bleepingcomputer.com/news/security/millions-of-sites-exposed-by-flaw-in-jetpack-wordpress-plugin/

5、Oracle EBS会见控制不当误差影响上万家企业

优发国际·随优而动一触即发

Oracle电子商务套件（EBS）中的两个要害误差可导致攻击者完全控制公司的ERP解决计划。该误差被归类为CWE-284：会见控制不当，其CVSS得分为9.9分，被跟踪为CVE-2019-2638和CVE-2019-2633。若是乐成使用这两个误差，未经授权的攻击者可使用电子汇款流程并打印银行支票而不被发明。Oracle在4月主要补丁更新中修复了该误差，但凭证Onapsis研究团队的预计，目今约有50％的Oracle EBS客户尚未安排补�。ǹ赡芏啻�1万个企业）。

原文链接：
https://www.bleepingcomputer.com/news/security/thousands-of-enterprises-at-risk-due-to-oracle-ebs-critical-flaws/

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

信息清静周报-2019年第46周

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

服务热线