首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第38周

發布時間 2020-09-21

> 本周安全態勢綜述


2020年09月14日至09月20日共收錄安全漏洞57個,值得關注的是Adobe Media Encoder CVE-2020-9745越界讀信息泄露漏洞;Gallagher Group Command Centre客戶端掛起漏洞;Hyland OnBase CVE-2020-25248目錄遍歷漏洞;IPTV/H.264/H.265視頻編碼器后門密碼管理員訪問漏洞;Google Android Framework CVE-2020-0275權限提升漏洞。


本周值得關注的網絡安全事件是Razer數據庫暴露導致其約10萬用戶信息泄露;Redgate發布2020年度數據庫狀態監測報告;英國國家網絡安全中心(NCSC)發布漏洞披露指南;卡巴斯基發布2020年工業網絡安全調查研究報告;德國購物網站windeln.de數據庫暴露,泄露60億條記錄。


根據以上綜述,本周安全威脅為中。


重要安全漏洞列表


1.Adobe Media Encoder CVE-2020-9745越界讀信息泄露漏洞


Adobe Media Encoder存在越界讀安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可獲取敏感信息。

https://helpx.adobe.com/security/products/media-encoder/apsb20-57.html


2. Gallagher Group Command Centre客戶端掛起漏洞


Gallagher Group Command Centre創建Guard Tour事件存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使客戶端暫時掛起或斷開連接。

https://security.gallagher.com/Security-Advisories/CVE-2020-16099


3.Hyland OnBase CVE-2020-25248目錄遍歷漏洞


Hyland OnBase存在路徑遍歷漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,以應用程序上下文讀取系統文件或寫入系統到文件。

https://seclists.org/fulldisclosure/2020/Sep/21


4. IPTV/H.264/H.265視頻編碼器后門密碼管理員訪問漏洞


IPTV/H.264/H.265視頻編碼器存在后門密碼漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可未授權完全控制應用。

https://www.kb.cert.org/vuls/id/896979


5. Google Android Framework CVE-2020-0275權限提升漏洞


Google Android Framework存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://source.android.com/security/bulletin/android-11


> 重要安全事件綜述


1、Razer數據庫暴露導致其約10萬用戶信息泄露


1.jpg


8月19日,研究員Bob Diachenko發現游戲硬件制造商Razer的在線商店的數據庫暴露,導致其約10萬用戶信息泄露。此次泄露的信息包括客戶的姓名、電子郵件地址、電話號碼、訂單號、訂單明細以及帳單和送貨地址等。Razer于在9月9日修復了該數據庫服務器,并表示該事件中并沒有其他敏感數據泄露,例如信用卡號或密碼等信息。


原文鏈接:

https://www.bleepingcomputer.com/news/security/razer-data-leak-exposes-personal-information-of-gamers/


2、Redgate發布2020年度數據庫狀態監測報告


2.jpg


Redgate最新發布了2020年度數據庫狀態監測報告。報告顯示,無論是在采用數據庫DevOps方面,還是在使用監控來跟蹤數據庫性能和部署方面,金融服務行業的表現都優于其他行業。其中,61%的金融服務行業員工每周更新至少一次數據庫,而其他行業只有43%的員工會這樣做。金融服務的服務器數量也更多,36%的服務器擁有50到500個實例,而其他部門只有26%。


原文鏈接:

https://www.helpnetsecurity.com/2020/09/14/database-monitoring-improves-devops-success/


3、英國國家網絡安全中心(NCSC)發布漏洞披露指南


3.jpg


英國國家網絡安全中心(NCSC)發布了漏洞披露指南,以幫助公司實施漏洞披露流程或在已經建立漏洞披露流程的情況下對其進行改進。NCSC表示,該指南并不是一個漏洞披露的規則手冊,而是為更好的實施提供了必要的信息。其主要分為三個主要部分,描述了如何將外部漏洞信息定向給合適的人,以及報告需遵循關閉漏洞的框架標準。


原文鏈接:

https://www.bleepingcomputer.com/news/security/uk-government-releases-toolkit-to-easily-disclose-vulnerabilities/


4、卡巴斯基發布2020年工業網絡安全調查研究報告


4.jpg


卡巴斯基對疫情期間的工業網絡安全狀況進行了研究,并發布了2020年工業網絡安全調查研究報告。報告顯示,超過一半(53%)的受訪者承認,COVID-19導致更多員工在家辦公,這已成為對信息安全服務的一種壓力測試。由于外部連接數量眾多,現在絕大多數公司都在對OT網絡的安全級別進行定期評估。許多組織不得不重新考慮他們內網的保護方法,只有7%的受訪者表示,他們的網絡安全戰略在COVID-19期間相當有效。


原文鏈接:

https://www.kaspersky.com/blog/industrial-cybersecurity-2020/37031/


5、德國購物網站windeln.de數據庫暴露,泄露60億條記錄


5.jpg


Safety Detectives的研究人員在網絡上發現了一個暴露的數據庫,經調查該數據庫屬于德國在線購物網站windeln.de。其暴露了6.4TB的數據,其中包含60億條記錄,泄露了超過700000名客戶的個人信息。此次事件的泄露信息包括個人身份信息(PII)和其他數據,例如發票、全名、IP地址、內部日志、電話號碼、電子郵件地址、家庭地址、散列密碼、付款方式和用戶的孩子個人信息等。


原文鏈接:

https://www.hackread.com/shopping-site-leaks-miners-data-database-mess-up/

上一篇 下一篇