1
PART
安全资讯
PART1
微软修复了暴露用户数据库的ExtraReplica Azure漏洞
据外媒报道,微软修复了在PostgreSQL Flexible Server的Azure数据库中发现的一系列关键漏洞,这些漏洞可能会让攻击者绕过身份验证后提升权限并获得对其他客户数据库的访问权限。专家表示,“为了进一步减少暴露,我们建议客户在设置Flexible Server实例时启用专用网络访问。”
来源:安全419
PART2
法国一医疗软件公司因泄露49万患者数据被罚150万欧元
近日,法国监管机构国家信息与自由委员会(CNIL)对医疗软件供应商迪达勒斯生物公司(Dedalus Biology)处以150万欧元的罚款,原因是该公司违反了通用数据保护条例(GDPR)中的三条规定。在法国国内,Dedalus生物公司为数千家医学实验室提供服务。这次,公司因泄露患者的敏感信息而被罚款,而本次的信息泄露共涉及28家实验室的491,939名患者。
来源:FreeBuf.COM
PART3
北京健康宝遭境外网络攻击 已有效处置
据新京报等权威媒体披露,4月28日北京市第318场新冠病毒肺炎疫情防控工作新闻发布会召开。官方表示4月28日北京健康宝使用高峰期遭受网络攻击,经初步分析,网络攻击源头来自境外,北京健康宝保障团队进行及时有效应对,受攻击期间,北京健康宝相关服务未受影响。据悉,在北京冬奥会冬残奥会期间,北京健康宝也遭受过类似网络攻击,均得到有效处置。
来源:安全419
01
Dell PowerScale OneFS安全绕过漏洞
Dell PowerScale OneFS是提供横向扩展NAS的PowerScale OneFS操作系统。Dell PowerScale OneFS存在安全漏洞,远程无权限恶意攻击者可利用此漏洞进行攻击,从而导致系统完全访问。
来源:CNVD
02
OIC Exponent CMS文件上传漏洞
OIC Exponent CMS是美国OIC公司的一套基于PHP的免费、开源的模块化内容管理系统(CMS)。该系统支持在页面中直接进行编辑,并提供用户管理、网站配置、内容编辑等功能。Exponent CMS存在文件上传漏洞,该漏洞源于应用对上传的文件缺少有效的验证,经过身份验证的攻击者可利用该漏洞上传含有PHP文件的ZIP文件格式的恶意扩展名。
来源:CNVD
03
Wordpress插件Smart Product Review任意文件上传漏洞
WordPress是一套使用PHP语言开发的博客平台。Smart Product Review是一款适用于用户的WooCommerce商店的多功能审查包。Wordpress插件Smart Product Review任意文件上传漏洞,攻击者可利用漏洞上传webshell,获得服务器权限。
来源:CNVD
03
PART
威胁情报
1
Synology 就多个产品中的严重 Netatalk 错误发出警告
Synology 已警告客户,其部分网络附加存储 (NAS) 设备面临利用多个关键 Netatalk 漏洞的攻击。
“多个漏洞允许远程攻击者获取敏感信息,并可能通过易受攻击的 Synology DiskStation Manager (DSM) 和 Synology Router Manager (SRM) 版本执行任意代码,”Synology 说。
Netatalk 是 AFP(Apple Filing Protocol 的缩写)开源实现,它允许运行 *NIX/*BSD 的系统充当 macOS 客户端的 AppleShare 文件服务器 (AFP)(即访问存储在 Synology NAS 设备上的文件)。
Netatalk 开发团队解决了3.1.1 版本中的安全漏洞,该版本于 3 月 22 日发布,即 Pwn2Own 2021 黑客竞赛三个月后首次披露和利用。
补丁将在 90 天内推出
NCC Group 的 EDG 团队在Pwn2Own 竞赛期间利用安全漏洞(跟踪为 CVE-2022-23121,严重性评分为 9.8/10)在运行 My Cloud OS 固件的 Western Digital PR4100 NAS 上实现了无需身份验证的远程代码执行。
Synology 在今天的警告中强调了其他三个漏洞(即CVE-2022-23125、CVE-2022-23122、CVE-2022-0194),它们也获得了相同的严重等级。
他们还使未经身份验证的攻击者能够在未打补丁的设备上远程执行任意代码。
尽管 Netatalk 开发团队上个月发布了安全补丁来解决这些漏洞,但 Synology 表示,一些受影响产品的发布仍在“进行中”。
尽管 NAS 制造商没有为这些即将到来的更新提供估计的时间表,但 Synology 去年告诉 BleepingComputer,它通常会在发布公告后的 90 天内为受影响的软件发布补丁。
该公司还补充说,Netatalk 漏洞已经针对运行 DiskStation Manager (DSM) 7.1 或更高版本的设备进行了修复。
QNAP 也在开发 Netatalk 补丁
本周早些时候,另一家台湾 NAS 设备制造商 QNAP 敦促其客户禁用其 NAS 设备的 AFP 文件服务协议,直到它修复了关键的 Netatalk 安全漏洞。
威联通表示,Netatalk 漏洞影响多个 QTS 和 QuTS hero 操作系统版本以及公司的云优化 NAS 操作系统 QuTScloud。
与 Synology 一样,QNAP 已经为其中一个受影响的操作系统版本发布了补丁,并且已经为运行 QTS 4.5.4.2012 build 20220419 及更高版本的设备提供了修复程序。
产品 |
严重性 |
固定版本可用性 |
DSM 7.1 |
危急 |
升级到 7.1-42661-1 或更高版本。 |
DSM 7.0 |
危急 |
进行中 |
DSM 6.2 |
危急 |
进行中 |
VS Firmware 2.3 |
危急 |
进行中 |
SRM 1.2 |
危急 |
进行中 |
“QNAP 正在彻底调查此案。我们将发布所有受影响的 QNAP 操作系统版本的安全更新,并尽快提供进一步的信息,”NAS 制造商表示。
“我们建议用户在安全更新可用时立即检查并安装。”
来源:bleepingcomputer
往期回顾
#
#
#
#
END
扫
码
关
注
数据安全能力引领者!
原文始发于微信公众号(云知云享):微软修复了暴露用户数据库的ExtraReplica Azure漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论