维他命安全周报2020年第38周

  • A+
所属分类:安全新闻


 本周安全态势综述

2020年09月14日至09月20日共收录安全漏洞57个,值得关注的是Adobe Media Encoder CVE-2020-9745越界读信息泄露漏洞;Gallagher Group Command Centre客户端挂起漏洞;Hyland OnBase CVE-2020-25248目录遍历漏洞;IPTV/H.264/H.265视频编码器后门密码管理员访问漏洞;Google Android Framework CVE-2020-0275权限提升漏洞。

本周值得关注的网络安全事件是Razer数据库暴露导致其约10万用户信息泄露;Redgate发布2020年度数据库状态监测报告;英国国家网络安全中心(NCSC)发布漏洞披露指南;卡巴斯基发布2020年工业网络安全调查研究报告;德国购物网站windeln.de数据库暴露,泄露60亿条记录。

根据以上综述,本周安全威胁为中。




重要安全漏洞列表

1.Adobe Media Encoder CVE-2020-9745越界读信息泄露漏洞

Adobe Media Encoder存在越界读安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可获取敏感信息。

https://helpx.adobe.com/security/products/media-encoder/apsb20-57.html


2. Gallagher Group Command Centre客户端挂起漏洞

Gallagher Group Command Centre创建Guard Tour事件存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使客户端暂时挂起或断开连接。

https://security.gallagher.com/Security-Advisories/CVE-2020-16099


3.Hyland OnBase CVE-2020-25248目录遍历漏洞

Hyland OnBase存在路径遍历漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,以应用程序上下文读取系统文件或写入系统到文件。

https://seclists.org/fulldisclosure/2020/Sep/21


4. IPTV/H.264/H.265视频编码器后门密码管理员访问漏洞

IPTV/H.264/H.265视频编码器存在后门密码漏洞,允许远程攻击者利用漏洞提交特殊的请求,可未授权完全控制应用。

https://www.kb.cert.org/vuls/id/896979


5. Google Android Framework CVE-2020-0275权限提升漏洞

Google Android Framework存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。

https://source.android.com/security/bulletin/android-11



 重要安全事件综述

1Razer数据库暴露导致其约10万用户信息泄露

维他命安全周报2020年第38周

8月19日,研究员Bob Diachenko发现游戏硬件制造商Razer的在线商店的数据库暴露,导致其约10万用户信息泄露。此次泄露的信息包括客户的姓名、电子邮件地址、电话号码、订单号、订单明细以及帐单和送货地址等。Razer于在9月9日修复了该数据库服务器,并表示该事件中并没有其他敏感数据泄露,例如信用卡号或密码等信息。


原文链接:

https://www.bleepingcomputer.com/news/security/razer-data-leak-exposes-personal-information-of-gamers/


2、Redgate发布2020年度数据库状态监测报告

维他命安全周报2020年第38周

Redgate最新发布了2020年度数据库状态监测报告。报告显示,无论是在采用数据库DevOps方面,还是在使用监控来跟踪数据库性能和部署方面,金融服务行业的表现都优于其他行业。其中,61%的金融服务行业员工每周更新至少一次数据库,而其他行业只有43%的员工会这样做。金融服务的服务器数量也更多,36%的服务器拥有50到500个实例,而其他部门只有26%。


原文链接:

https://www.helpnetsecurity.com/2020/09/14/database-monitoring-improves-devops-success/


3、英国国家网络安全中心(NCSC)发布漏洞披露指南

维他命安全周报2020年第38周

英国国家网络安全中心(NCSC)发布了漏洞披露指南,以帮助公司实施漏洞披露流程或在已经建立漏洞披露流程的情况下对其进行改进。NCSC表示,该指南并不是一个漏洞披露的规则手册,而是为更好的实施提供了必要的信息。其主要分为三个主要部分,描述了如何将外部漏洞信息定向给合适的人,以及报告需遵循关闭漏洞的框架标准。


原文链接:

https://www.bleepingcomputer.com/news/security/uk-government-releases-toolkit-to-easily-disclose-vulnerabilities/


4、卡巴斯基发布2020年工业网络安全调查研究报告

维他命安全周报2020年第38周

卡巴斯基对疫情期间的工业网络安全状况进行了研究,并发布了2020年工业网络安全调查研究报告。报告显示,超过一半(53%)的受访者承认,COVID-19导致更多员工在家办公,这已成为对信息安全服务的一种压力测试。由于外部连接数量众多,现在绝大多数公司都在对OT网络的安全级别进行定期评估。许多组织不得不重新考虑他们内网的保护方法,只有7%的受访者表示,他们的网络安全战略在COVID-19期间相当有效。


原文链接:

https://www.kaspersky.com/blog/industrial-cybersecurity-2020/37031/


5、德国购物网站windeln.de数据库暴露,泄露60亿条记录

维他命安全周报2020年第38周

Safety Detectives的研究人员在网络上发现了一个暴露的数据库,经调查该数据库属于德国在线购物网站windeln.de。其暴露了6.4TB的数据,其中包含60亿条记录,泄露了超过700000名客户的个人信息。此次事件的泄露信息包括个人身份信息(PII)和其他数据,例如发票、全名、IP地址、内部日志、电话号码、电子邮件地址、家庭地址、散列密码、付款方式和用户的孩子个人信息等。


原文链接:

https://www.hackread.com/shopping-site-leaks-miners-data-database-mess-up/





维他命安全周报2020年第38周

欢迎关注微信公共号:

维他命安全

维他命安全周报2020年第38周

信息安全那些事儿~

长按二维码关注


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: