首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第46周

發布時間 2019-11-25

>本周安全態勢綜述



2019年11月18日至24日共收錄安全漏洞50個,值得關注的是Apache Solr solr.in.sh遠程代碼執行漏洞; Apache Shiro "remember me" Oracle Padding攻擊漏洞;ISC BIND TCP客戶端數量限制拒絕服務漏洞;Fortinet FortiOS SSL VPN門戶拒絕服務漏洞;Qualcomm QCA6174_9377 Bluetooth HOST權限提升漏洞。


本周值得關注的網絡安全事件是NowSecure披露Android libpac庫中的RCE漏洞;Android相機漏洞可秘密拍照及錄制視頻;黑客在網上公布開曼銀行的2TB數據;WordPress Jetpack插件漏洞影響數百萬網站;Oracle EBS訪問控制不當漏洞影響上萬家企業。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表



1. Apache Solr solr.in.sh遠程代碼執行漏洞
Apache Solr沒有安全地設置默認solr.in.sh配置文件的ENABLE_REMOTE_JMX_OPTS配置選項,允許遠程攻擊者利用漏洞提交特殊的請求,未授權上傳代碼并執行。
https://lists.apache.org/thread.html/6640c7e370fce2b74e466a605a46244ccc40666ad9e3064a4e04a85d@%3Csolr-user.lucene.apache.org%3E

2. Apache Shiro "remember me" Oracle Padding攻擊漏洞
Apache Shiro "remember me"存在Oracle Padding漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可獲取敏感信息。
https://lists.apache.org/thread.html/c9db14cfebfb8e74205884ed2bf2e2b30790ce24b7dde9191c82572c@%3Cdev.shiro.apache.org%3E

3. ISC BIND TCP客戶端數量限制拒絕服務漏洞
ISC BIND TCP客戶端數量限制處理存在安全漏洞,允許遠程攻擊者可以利用漏洞提交單個鏈接上通過一個TCP客戶端發送大量DNS請求,可使系統崩潰。
https://access.redhat.com/security/cve/cve-2019-6477

4. Fortinet FortiOS SSL VPN門戶拒絕服務漏洞
Fortinet FortiOS SSL VPN存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可使SSL VPN服務崩潰。
https://www.auscert.org.au/bulletins/ESB-2019.4388/

5. Qualcomm QCA6174_9377 Bluetooth HOST權限提升漏洞
Qualcomm QCA6174_9377 Bluetooth HOST權限處理存在安全漏洞,允許低權限攻擊者可以利用漏洞提交特殊的請求,寫惡意注冊數據,提升權限。
https://www.qualcomm.com/company/product-security/bulletins/october-2019-bulletin


>重要安全事件綜述



1、NowSecure披露Android libpac庫中的RCE漏洞



NowSecure研究人員發現Android系統使用的libpac庫中存在RCE漏洞(CVE-2019-2205)。libpac是一個基于Chromium項目代碼的庫,該庫使用靜態鏈接的V8 JS引擎來解析JavaScript,這為平臺應用程序帶來了巨大的攻擊面。研究人員發現JS函數FindProxyForUrl上下文中的ArrayBuffers分配器聲明不正確,可致棧上的VPTR被覆蓋,這可能被用于執行任意代碼。谷歌在11月Android安全更新中修復了該漏洞。

原文鏈接:
https://www.nowsecure.com/blog/2019/11/13/nowsecure-discovers-critical-android-vuln-that-may-lead-to-remote-code-execution/

2、Android相機漏洞可秘密拍照及錄制視頻



Checkmarx的研究人員在Android相機應用中發現一個新漏洞,即APP可在沒有權限的情況下拍照、錄制視頻或獲取設備的位置。該漏洞(CVE-2019-2234)相當危險,因為它可以使APP在手機鎖屏的狀態下秘密拍照和錄像,也可以從存儲的照片中提取GPS位置數據,還可以將這些數據發送回攻擊者的遠程服務器。根據Google的說法,相機應用已于2019年7月通過Google Play商店更新修復了此漏洞。

原文鏈接:
https://www.bleepingcomputer.com/news/security/android-camera-app-bug-lets-apps-record-video-without-permission/

3、黑客在網上公布開曼銀行的2TB數據



黑客從開曼銀行竊取了2TB的數據并發布在網上。據稱這些數據是由黑客或黑客團伙Phineas Fisher竊取的,并通過Distributed Denial of Secrets項目發布。數據集中包含開曼銀行為其全球客戶管理的超過3800家公司、信托和個人賬戶的詳細財務信息,甚至包括賬戶余額。開曼銀行并未承認數據泄露,但安全專家注意到其許多服務于11月17日因“重大升級和維護”而處于不可用狀態。

原文鏈接:
https://securityaffairs.co/wordpress/94136/data-breach/cayman-national-bank-data-leak.html

4、WordPress Jetpack插件漏洞影響數百萬網站



Jetpack開發團隊敦促WordPress網站管理員立刻應用Jetpack 7.9.1關鍵安全更新,以修復一個關鍵漏洞。雖然該團隊沒有披露有關該漏洞的詳細信息,但根據Jetpack的公告,該漏洞影響了從5.1到2017年7月以來的所有版本。開發人員表示沒有發現該漏洞被野外利用的證據。Jetpack是一個受歡迎的WordPress插件,它為管理員提供免費的安全性和站點管理功能,該插件的活躍安裝量為超過500萬,開發團隊表示已有超過400萬網站安裝了更新。

原文鏈接:
https://www.bleepingcomputer.com/news/security/millions-of-sites-exposed-by-flaw-in-jetpack-wordpress-plugin/

5、Oracle EBS訪問控制不當漏洞影響上萬家企業


Oracle電子商務套件(EBS)中的兩個關鍵漏洞可導致攻擊者完全控制公司的ERP解決方案。該漏洞被歸類為CWE-284:訪問控制不當,其CVSS得分為9.9分,被跟蹤為CVE-2019-2638和CVE-2019-2633。如果成功利用這兩個漏洞,未經授權的攻擊者可操縱電子匯款流程并打印銀行支票而不被發現。Oracle在4月重要補丁更新中修復了該漏洞,但根據Onapsis研究團隊的估計,當前約有50%的Oracle EBS客戶尚未部署補?。赡芏噙_1萬個企業)。

原文鏈接:
https://www.bleepingcomputer.com/news/security/thousands-of-enterprises-at-risk-due-to-oracle-ebs-critical-flaws/
上一篇 下一篇