【08.14】安全帮®每日资讯：Apache Struts远程代码执行漏洞；我国境内超1.78万亿条数据存在泄露风险

Huawei FusionCompute是华为一款计算机虚拟化引擎。该产品提供虚拟资源管理器（VRM）和计算节点代理（CNA）等。Huawei FusionCompute 8.0.0版本中存在命令注入漏洞（CVE-2020-9242），该漏洞源于设备对用户提交的某些参数未进行充分地校验。目前厂商已发布升级补丁以修复漏洞。

参考来源：

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202008-697

据英国《每日邮报》报道，太空探索技术公司的CEO埃隆·马斯克计划利用植入物将人类大脑与计算机连接起来，但一份新报告警告称，这种植入物可能让我们容易受到黑客的攻击。专家表示，网络犯罪分子可以通过这些脑机接口来抹除你的技能，并读取你的想法或记忆——这类侵入的后果比其他任何系统都更严重。

参考来源：

https://baijiahao.baidu.com/s?id=1674905783661531533&wfr=spider&for=pc

CNCERT发布《2019年中国互联网网络安全报告》，据分析，CNCERT针对境内的MongoDB、ElasticSearch、MySQL及Redis等数据库进行排查，发现大量存在数据泄露隐患，共涉及20720个数据表、1330.3TB数据量、1.78万亿余条数据。其中，因未授权访问漏洞存在泄露风险的数据有1.77万亿余条，因弱口令漏洞存在泄露风险的数据有96亿余条。

参考来源：
https://www.secrss.com/articles/24697

8月13日，Apache Struts官方发布安全公告，披露 S2-059 Struts 远程代码执行漏洞（CVE-2019-0230），影响Apache Struts 2.0.0 - 2.5.20版本，在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成远程代码执行，风险极大。建议Apache Struts用户尽快将Apache Struts框架升级至最新版本以阻止漏洞攻击。

参考来源：

https://mp.weixin.qq.com/s/sRcP27-y_Ps-YGTZ3Y4uZQ

随着浏览器地址栏争夺战的推进，谷歌宣布将在 Chrome 86 中开展一项实验，以隐藏部分 URL 路径。该公司称，此举不仅可以帮助用户分辨其当前正在访问哪个网站，还可识别潜在的恶意网站。与此同时，这种让网址变得不太明显的处理方式，或可促使更多人去依赖该公司的搜索服务。测试期间，谷歌将面向测试用户去随机开启这项功能。

参考来源：

http://hackernews.cc/archives/31703