首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第5周

發布時間 2019-03-04

本周安全態勢綜述


2019年1月28日至2月03日共收錄安全漏洞42個,值得關注的是Apache Hadoop CVE-2018-1296安全繞過漏洞;D-Link DIR-823G HNAP1請求命令注入漏洞;ACD Systems Canvas Draw CVE-2018-3976緩沖區溢出漏洞;ARM Trusted Firmware-A信息泄露漏洞;Google Chrome PDFium CVE-2019-5772釋放后利用代碼執行漏洞。

本周值得關注的網絡安全事件是數據管理公司Rubrik意外泄露大量客戶數據;FaceTime曝重大竊聽漏洞,Apple表示將在本周修復;歐洲網絡信息安全局ENISA發布2018年網絡威脅景觀報告;印度國家銀行SBI意外泄露數百萬客戶信息;荷蘭DPA發布2018年數據泄露統計報告。

根據以上綜述,本周安全威脅為中。

重要安全漏洞列表


1. Apache Hadoop CVE-2018-1296安全繞過漏洞
Apache Hadoop存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,繞過安全限制,執行未授權的操作。
https://hadoop.apache.org/cve_list.html#cve-2018-8009-http-cve-mitre-org-cgi-bin-cvename-cgi-name-cve-2018-8009-zip-slip-impact-on-apache-hadoop

2. D-Link DIR-823G HNAP1請求命令注入漏洞
D-Link DIR-823G存在代碼注入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的HNAP1請求,可以應用程序上下文執行OS命令。
https://github.com/leonW7/D-Link/blob/master/Vul_1.md

3. ACD Systems Canvas Draw CVE-2018-3976緩沖區溢出漏洞
ACD Systems Canvas Draw CALS Raster文件解析功能存在越界寫入漏洞,允許遠程攻擊者利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或執行任意代碼。
https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0642

4. ARM Trusted Firmware-A信息泄露漏洞
ARM Trusted Firmware-A存在安全漏洞,允許本地攻擊者利用漏洞提交特殊的請求,可獲取敏感信息。
https://github.com/ARM-software/arm-trusted-firmware/wiki/Trusted-Firmware-A-Security-Advisory-TFV-8

5. Google Chrome PDFium CVE-2019-5772釋放后利用代碼執行漏洞
Google Chrome PDFium存在釋放后使用漏洞,允許遠程攻擊者利用漏洞提交特殊的WEB頁請求,誘使用戶解析,可獲取敏感信息。
https://chromereleases.googleblog.com/2019/01/stable-channel-update-for-desktop.html

 重要安全事件綜述


1、數據管理公司Rubrik意外泄露大量客戶數據


安全研究員Oliver Hough發現屬于數據管理公司Rubrik的一個Elasticsearch服務器未受密碼保護,該數據庫存儲了數十GB的數據,包含企業客戶的名稱、聯系信息和工作案例。根據時間戳,這些數據可追溯至2018年10月。經過調查,Rubrik稱這一事件是由人為錯誤導致的。

原文鏈接:
https://techcrunch.com/2019/01/29/rubrik-data-leak/

2、FaceTime曝重大竊聽漏洞,Apple表示將在本周修復


據外媒報道,Apple FaceTime存在重大安全漏洞,可允許攻擊者在目標接聽或拒絕FaceTime通話之前監聽對方的聲音。如果對方按下音量降低按鈕或電源按鈕來靜音或取消通話,則其前置攝像頭也會打開,并將視頻信號發送給攻擊者。據悉,該漏洞會出現在iOS 12.1或更高版本的iOS設備中。Apple已經臨時禁用了FaceTime中的群組通話功能,并表示將在本周晚些時候發布修復補丁。

原文鏈接:
https://thehackernews.com/2019/01/apple-facetime-privacy-hack.html

3、歐洲網絡信息安全局ENISA發布2018年網絡威脅景觀報告


歐洲網絡信息安全局(ENISA)發布2018年威脅景觀報告,該報告重點介紹了2018年的網絡威脅趨勢變化,包括電子郵件和釣魚短信已經成為主要的惡意軟件感染媒介;惡意礦工成為犯罪分子的重要獲利手段;國家資助的犯罪團伙越來越多地瞄準銀行;由于缺少低端物聯網設備和服務的保護機制,對通用物聯網保護架構/良好實踐的需求仍然是一個緊迫的問題;威脅情報需要使用新的自動化工具和方法來應對自動化的攻擊;安全領域應該重點關注人才和技能的培訓。該報告還從政策、企業以及技術、研究和教育方面提出了建議。

原文鏈接:
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018/

4、印度國家銀行SBI意外泄露數百萬客戶信息


匿名安全研究人員發現一臺用于銀行加速服務的服務器,這是一種基于移動的信息服務。該數據庫在沒有保護的情況下被公開,該數據庫包含數百萬條短信,可追溯到12月份,包括客戶的電話號碼,部分銀行賬號,銀行余額和交易記錄。好消息是,印度國家銀行在得知問題后數小時內迅速解決了這個問題,遺憾的是,不知道數據在網上暴露了多長時間。這些信息的可用性給銀行客戶帶來了嚴重的風險,威脅行為者可以使用它來瞄準銀行客戶。

原文鏈接:
https://securityaffairs.co/wordpress/80555/data-breach/state-bank-of-india-leak.html

5、荷蘭DPA發布2018年數據泄露統計報告


2019年1月29日,荷蘭數據保護局(Autoriteit Persoonsgegevens,“荷蘭DPA”)發表了一份報告關于2018年收到的個人數據泄露通知(“報告”)。歐盟通用數據保護法規(“GDPR”)要求數據管理員在知悉后的72小時內將數據泄露通知主管數據保護局(“DPA”)。在荷蘭,自2016年1月1日起,該違規通知要求已經實施。但是,GDPR規定了額外的要求,包括:在違規通知中提供某些信息; 如果違規行為可能對這些人的權利和自由造成高風險,數據管理員有義務通知受影響的個人; 公司有義務記錄任何個人數據泄露事件。2018年,荷蘭DPA收到的數據泄露通知數量增加了一倍,共計20,881次違規通知。受影響最大的部門是健康和福利部門(通報的違規行為的29%),金融部門(通知的違規行為的26%)和公共部門(17%的違規通知)。

原文鏈接:
https://www.databreaches.net/dutch-dpa-publishes-2018-report-on-data-breach-statistics/

聲明:本資訊由啟明星辰維他命安全小組翻譯和整理

上一篇 下一篇