优发国际网站官网

首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2020年第38周

宣布时间 2020-09-21

> 本周清静态势综述

2020年09月14日至09月20日共收录清静误差57个，值得关注的是Adobe Media Encoder CVE-2020-9745越界读信息泄露误差；Gallagher Group Command Centre客户端挂起误差；Hyland OnBase CVE-2020-25248目录遍历误差；IPTV/H.264/H.265视频编码器后门密码治理员会见误差；Google Android Framework CVE-2020-0275权限提升误差。

本周值得关注的网络清静事务是Razer数据库袒露导致其约10万用户信息泄露；Redgate宣布2020年度数据库状态监测报告；英国国家网络清静中心（NCSC）宣布误差披露指南；卡巴斯基宣布2020年工业网络清静视察研究报告；德国购物网站windeln.de数据库袒露，泄露60亿条纪录。

凭证以上综述，本周清静威胁为中。

> 主要清静误差列表

1.Adobe Media Encoder CVE-2020-9745越界读信息泄露误差

Adobe Media Encoder保存越界读清静误差，允许远程攻击者使用误差提交特殊的请求，可获取敏感信息。

https://helpx.adobe.com/security/products/media-encoder/apsb20-57.html

2. Gallagher Group Command Centre客户端挂起误差

Gallagher Group Command Centre建设Guard Tour事务保存清静误差，允许远程攻击者使用误差提交特殊的请求，可使客户端暂时挂起或断开毗连。

https://security.gallagher.com/Security-Advisories/CVE-2020-16099

3.Hyland OnBase CVE-2020-25248目录遍历误差

Hyland OnBase保存路径遍历误差，允许远程攻击者可以使用误差提交特殊的请求，以应用程序上下文读取系统文件或写入系统到文件。

https://seclists.org/fulldisclosure/2020/Sep/21

4. IPTV/H.264/H.265视频编码器后门密码治理员会见误差

IPTV/H.264/H.265视频编码器保存后门密码误差，允许远程攻击者使用误差提交特殊的请求，可未授权完全控制应用。

https://www.kb.cert.org/vuls/id/896979

5. Google Android Framework CVE-2020-0275权限提升误差

Google Android Framework保存清静误差，允许远程攻击者使用误差提交特殊的请求，可以应用程序上下文执行恣意代码。

https://source.android.com/security/bulletin/android-11

> 主要清静事务综述

1、Razer数据库袒露导致其约10万用户信息泄露

8月19日，研究员Bob Diachenko发明游戏硬件制造商Razer的在线市肆的数据库袒露，导致其约10万用户信息泄露。此次泄露的信息包括客户的姓名、电子邮件地点、电话号码、订单号、订单明细以及帐单和送货地点等。Razer于在9月9日修复了该数据库服务器，并体现该事务中并没有其他敏感数据泄露，例如信用卡号或密码等信息。

原文链接：

https://www.bleepingcomputer.com/news/security/razer-data-leak-exposes-personal-information-of-gamers/

2、Redgate宣布2020年度数据库状态监测报告

Redgate最新宣布了2020年度数据库状态监测报告。报告显示，无论是在接纳数据库DevOps方面，照旧在使用监控来跟踪数据库性能和安排方面，金融服务行业的体现都优于其他行业。其中，61%的金融服务行业员工每周更新至少一次数据库，而其他行业只有43%的员工会这样做。金融服务的服务器数目也更多，36%的服务器拥有50到500个实例，而其他部分只有26%。

原文链接：

https://www.helpnetsecurity.com/2020/09/14/database-monitoring-improves-devops-success/

3、英国国家网络清静中心（NCSC）宣布误差披露指南

英国国家网络清静中心（NCSC）宣布了误差披露指南，以资助公司实验误差披露流程或在已经建设误差披露流程的情形下对其举行刷新。NCSC体现，该指南并不是一个误差披露的规则手册，而是为更好的实验提供了须要的信息。其主要分为三个主要部分，形貌了怎样将外部误差信息定向给合适的人，以及报告需遵照关闭误差的框架标准。

原文链接：

https://www.bleepingcomputer.com/news/security/uk-government-releases-toolkit-to-easily-disclose-vulnerabilities/

4、卡巴斯基宣布2020年工业网络清静视察研究报告

卡巴斯基对疫情时代的工业网络清静状态举行了研究，并宣布了2020年工业网络清静视察研究报告。报告显示，凌驾一半(53%)的受访者认可，COVID-19导致更多员工在家办公，这已成为对信息清静服务的一种压力测试。由于外部毗连数目众多，现在绝大大都公司都在对OT网络的清静级别举行按期评估。许多组织不得不重新思量他们内网的�；ひ�，只有7%的受访者体现，他们的网络清静战略在COVID-19时代相当有用。

原文链接：

https://www.kaspersky.com/blog/industrial-cybersecurity-2020/37031/

5、德国购物网站windeln.de数据库袒露，泄露60亿条纪录

Safety Detectives的研究职员在网络上发明了一个袒露的数据库，经视察该数据库属于德国在线购物网站windeln.de。其袒露了6.4TB的数据，其中包括60亿条纪录，泄露了凌驾700000名客户的小我私家信息。此次事务的泄露信息包括小我私家身份信息（PII）和其他数据，例如发票、全名、IP地点、内部日志、电话号码、电子邮件地点、家庭地点、散列密码、付款方法和用户的孩子小我私家信息等。

原文链接：

https://www.hackread.com/shopping-site-leaks-miners-data-database-mess-up/

上一篇下一篇

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 优发国际网站官网版权所有京ICP备05032414号京公网安备11010802024551号