首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2019年第46周

宣布时间 2019-11-25

>本周清静态势综述

2019年11月18日至24日共收录清静误差50个，，，，值得关注的是Apache Solr solr.in.sh远程代码执行误差; Apache Shiro "remember me" Oracle Padding攻击误差；；；；；；ISC BIND TCP客户端数目限制拒绝效劳误差；；；；；；Fortinet FortiOS SSL VPN门户拒绝效劳误差；；；；；；Qualcomm QCA6174_9377 Bluetooth HOST权限提升误差。。。。。。。

本周值得关注的网络清静事务是NowSecure披露Android libpac库中的RCE误差；；；；；；Android相机误差可神秘照相及录制视频；；；；；；黑客在网上宣布开曼银行的2TB数据；；；；；；WordPress Jetpack插件误差影响数百万网站；；；；；；Oracle EBS会见控制不当误差影响上万家企业。。。。。。。

凭证以上综述，，，，本周清静威胁为中。。。。。。。

>主要清静误差列表

1. Apache Solr solr.in.sh远程代码执行误差
Apache Solr没有清静地设置默认solr.in.sh设置文件的ENABLE_REMOTE_JMX_OPTS设置选项，，，，允许远程攻击者使用误差提交特殊的请求，，，，未授权上传代码并执行。。。。。。。
https://lists.apache.org/thread.html/6640c7e370fce2b74e466a605a46244ccc40666ad9e3064a4e04a85d@%3Csolr-user.lucene.apache.org%3E

2. Apache Shiro "remember me" Oracle Padding攻击误差
Apache Shiro "remember me"保存Oracle Padding误差，，，，允许远程攻击者使用误差提交特殊的请求，，，，可获取敏感信息。。。。。。。
https://lists.apache.org/thread.html/c9db14cfebfb8e74205884ed2bf2e2b30790ce24b7dde9191c82572c@%3Cdev.shiro.apache.org%3E

3. ISC BIND TCP客户端数目限制拒绝效劳误差
ISC BIND TCP客户端数目限制处置惩罚保存清静误差，，，，允许远程攻击者可以使用误差提交单个链接上通过一个TCP客户端发送大宗DNS请求，，，，可使系统瓦解。。。。。。。
https://access.redhat.com/security/cve/cve-2019-6477

4. Fortinet FortiOS SSL VPN门户拒绝效劳误差
Fortinet FortiOS SSL VPN保存输入验证误差，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，可使SSL VPN效劳瓦解。。。。。。。
https://www.auscert.org.au/bulletins/ESB-2019.4388/

5. Qualcomm QCA6174_9377 Bluetooth HOST权限提升误差
Qualcomm QCA6174_9377 Bluetooth HOST权限处置惩罚保存清静误差，，，，允许低权限攻击者可以使用误差提交特殊的请求，，，，写恶意注册数据，，，，提升权限。。。。。。。
https://www.qualcomm.com/company/product-security/bulletins/october-2019-bulletin

>主要清静事务综述

1、NowSecure披露Android libpac库中的RCE误差

918博天堂(中国游)最新官方网站

NowSecure研究职员发明Android系统使用的libpac库中保存RCE误差（CVE-2019-2205）。。。。。。。libpac是一个基于Chromium项目代码的库，，，，该库使用静态链接的V8 JS引擎来剖析JavaScript，，，，这为平台应用程序带来了重大的攻击面。。。。。。。研究职员发明JS函数FindProxyForUrl上下文中的ArrayBuffers分派器声明不准确，，，，可致栈上的VPTR被笼罩，，，，这可能被用于执行恣意代码。。。。。。。谷歌在11月Android清静更新中修复了该误差。。。。。。。

原文链接：
https://www.nowsecure.com/blog/2019/11/13/nowsecure-discovers-critical-android-vuln-that-may-lead-to-remote-code-execution/

2、Android相机误差可神秘照相及录制视频

918博天堂(中国游)最新官方网站

Checkmarx的研究职员在Android相机应用中发明一个新误差，，，，即APP可在没有权限的情形下照相、录制视频或获取装备的位置。。。。。。。该误差（CVE-2019-2234）相当危险，，，，由于它可以使APP在手机锁屏的状态下神秘照相和录像，，，，也可以从存储的照片中提取GPS位置数据，，，，还可以将这些数据发送回攻击者的远程效劳器。。。。。。。凭证Google的说法，，，，相机应用已于2019年7月通过Google Play市肆更新修复了此误差。。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/android-camera-app-bug-lets-apps-record-video-without-permission/

3、黑客在网上宣布开曼银行的2TB数据

918博天堂(中国游)最新官方网站

黑客从开曼银行窃取了2TB的数据并宣布在网上。。。。。。。据称这些数据是由黑客或黑客团伙Phineas Fisher窃取的，，，，并通过Distributed Denial of Secrets项目宣布。。。。。。。数据集中包括开曼银行为其全球客户治理的凌驾3800家公司、信托和小我私家账户的详细财务信息，，，，甚至包括账户余额。。。。。。�？？？？？胁⑽慈峡墒菪孤�，，，，但清静专家注重到其许多效劳于11月17日因“重大升级和维护”而处于不可用状态。。。。。。。

原文链接：
https://securityaffairs.co/wordpress/94136/data-breach/cayman-national-bank-data-leak.html

4、WordPress Jetpack插件误差影响数百万网站

918博天堂(中国游)最新官方网站

Jetpack开发团队鞭策WordPress网站治理员连忙应用Jetpack 7.9.1要害清静更新，，，，以修复一个要害误差。。。。。。。虽然该团队没有披露有关该误差的详细信息，，，，但凭证Jetpack的通告，，，，该误差影响了从5.1到2017年7月以来的所有版本。。。。。。�？？？？？⒅霸碧逑置挥蟹⒚鞲梦蟛畋灰巴馐褂玫闹ぞ荨�。。。。。。Jetpack是一个受接待的WordPress插件，，，，它为治理员提供免费的清静性和站点治理功效，，，，该插件的活跃装置量为凌驾500万，，，，开发团队体现已有凌驾400万网站装置了更新。。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/millions-of-sites-exposed-by-flaw-in-jetpack-wordpress-plugin/

5、Oracle EBS会见控制不当误差影响上万家企业

918博天堂(中国游)最新官方网站

Oracle电子商务套件（EBS）中的两个要害误差可导致攻击者完全控制公司的ERP解决计划。。。。。。。该误差被归类为CWE-284：会见控制不当，，，，其CVSS得分为9.9分，，，，被跟踪为CVE-2019-2638和CVE-2019-2633。。。。。。。若是乐成使用这两个误差，，，，未经授权的攻击者可使用电子汇款流程并打印银行支票而不被发明。。。。。。。Oracle在4月主要补丁更新中修复了该误差，，，，但凭证Onapsis研究团队的预计，，，，目今约有50％的Oracle EBS客户尚未安排补丁�。。。。。。ǹ赡芏啻�1万个企业）。。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/thousands-of-enterprises-at-risk-due-to-oracle-ebs-critical-flaws/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

918博天堂

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系918博天堂

清静研究

信息清静周报-2019年第46周

关于918博天堂

解决计划

联系918博天堂

7*24小时效劳热线