首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第21周

發布時間 2020-05-26

> 本周安全態勢綜述


2020年05月18日至05月24日共收錄安全漏洞60個,值得關注的是Cisco Unified Contact Center Express反序列化代碼執行漏洞; Apache Tomcat session反序列化代碼執行漏洞;Google Chrome reader mode內存錯誤引用代碼執行漏洞;Emerson Electric OpenEnterpris遠程代碼執行漏洞;Centreon main.get.php OS命令注入漏洞。


本周值得關注的網絡安全事件是iPhone郵件應用Edison Mail存在漏洞,泄露用戶信息;澳大利亞公司BlueScope遭到攻擊導致部分業務中斷;Daimler 580多個Git存儲庫暴露,奔馳組件OLU源代碼泄露;Adobe發布緊急帶外更新,修復遠程執行代碼漏洞;黑客盜取Wishbone中4000萬條用戶信息,并在暗網標價出售。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. Cisco Unified Contact Center Express反序列化代碼執行漏洞


Cisco Unified Contact Center Express Java遠程管理界面存在反序列化漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以root權限執行任意代碼。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-rce-GMSC6RKN


2. Apache Tomcat session反序列化代碼執行漏洞


Apache Tomcat存在安全漏洞,當使用tomcat時,如果使用了tomcat提供的session持久化功能,如果存在文件上傳功能,惡意請求者通過一個流程,將能發起一個惡意請求造成服務端遠程命令執行。

https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E


3. Google Chrome reader mode內存錯誤引用代碼執行漏洞


Google Chrome reader mode存在釋放后使用漏洞,允許遠程攻擊者可以利用漏洞提交特殊的WEB請求,誘使用戶解析,可使應用程序崩潰或者以應用程序上下文執行任意代碼。

https://chromereleases.googleblog.com/2020/05/stable-channel-update-for-desktop_19.html


4. Emerson Electric OpenEnterpris遠程代碼執行漏洞


Emerson Electric OpenEnterprise某通信服務存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意代碼。

https://www.us-cert.gov/ics/advisories/icsa-20-140-02


5. Centreon main.get.php OS命令注入漏洞


Centreon main.get.php處理RRDdatabase_status_path參數存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可注入任意OS命令。

https://github.com/centreon/centreon/pull/8467



> 重要安全事件綜述


1、iPhone郵件應用Edison Mail存在漏洞,泄露用戶信息



原文鏈接:

https://news.softpedia.com/news/iphone-email-app-bug-caused-users-messages-to-show-up-on-other-phones-530003.shtml


2、澳大利亞公司BlueScope遭到攻擊導致部分業務中斷



原文鏈接:

https://www.zdnet.com/article/bluescope-reports-cyber-incident-affecting-australian-operations/


3、Daimler 580多個Git存儲庫暴露,奔馳組件OLU源代碼泄露



原文鏈接:

https://www.zdnet.com/article/mercedes-benz-onboard-logic-unit-olu-source-code-leaks-online/


4、Adobe發布緊急帶外更新,修復遠程執行代碼漏洞



原文鏈接:

https://www.bleepingcomputer.com/news/security/adobe-releases-critical-out-of-band-security-update/


5、黑客盜取Wishbone中4000萬條用戶信息,并在暗網標價出售



原文鏈接:

https://www.zdnet.com/article/hacker-selling-40-million-user-records-from-popular-wishbone-app/

上一篇 下一篇