首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2019年第46周

宣布时间 2019-11-25

>本周清静态势综述

2019年11月18日至24日共收录清静误差50个，，，，，，，值得关注的是Apache Solr solr.in.sh远程代码执行误差; Apache Shiro "remember me" Oracle Padding攻击误差；；；；；；ISC BIND TCP客户端数目限制拒绝效劳误差；；；；；；Fortinet FortiOS SSL VPN门户拒绝效劳误差；；；；；；Qualcomm QCA6174_9377 Bluetooth HOST权限提升误差。。。。。。

本周值得关注的网络清静事务是NowSecure披露Android libpac库中的RCE误差；；；；；；Android相机误差可神秘照相及录制视频；；；；；；黑客在网上宣布开曼银行的2TB数据；；；；；；WordPress Jetpack插件误差影响数百万网站；；；；；；Oracle EBS会见控制不当误差影响上万家企业。。。。。。

凭证以上综述，，，，，，，本周清静威胁为中。。。。。。

>主要清静误差列表

1. Apache Solr solr.in.sh远程代码执行误差
Apache Solr没有清静地设置默认solr.in.sh设置文件的ENABLE_REMOTE_JMX_OPTS设置选项，，，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，，，未授权上传代码并执行。。。。。。
https://lists.apache.org/thread.html/6640c7e370fce2b74e466a605a46244ccc40666ad9e3064a4e04a85d@%3Csolr-user.lucene.apache.org%3E

2. Apache Shiro "remember me" Oracle Padding攻击误差
Apache Shiro "remember me"保存Oracle Padding误差，，，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，，，可获取敏感信息。。。。。。
https://lists.apache.org/thread.html/c9db14cfebfb8e74205884ed2bf2e2b30790ce24b7dde9191c82572c@%3Cdev.shiro.apache.org%3E

3. ISC BIND TCP客户端数目限制拒绝效劳误差
ISC BIND TCP客户端数目限制处置惩罚保存清静误差，，，，，，，允许远程攻击者可以使用误差提交单个链接上通过一个TCP客户端发送大宗DNS请求，，，，，，，可使系统瓦解。。。。。。
https://access.redhat.com/security/cve/cve-2019-6477

4. Fortinet FortiOS SSL VPN门户拒绝效劳误差
Fortinet FortiOS SSL VPN保存输入验证误差，，，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，，，可使SSL VPN效劳瓦解。。。。。。
https://www.auscert.org.au/bulletins/ESB-2019.4388/

5. Qualcomm QCA6174_9377 Bluetooth HOST权限提升误差
Qualcomm QCA6174_9377 Bluetooth HOST权限处置惩罚保存清静误差，，，，，，，允许低权限攻击者可以使用误差提交特殊的请求，，，，，，，写恶意注册数据，，，，，，，提升权限。。。。。。
https://www.qualcomm.com/company/product-security/bulletins/october-2019-bulletin

>主要清静事务综述

1、NowSecure披露Android libpac库中的RCE误差

welcome-百乐博

NowSecure研究职员发明Android系统使用的libpac库中保存RCE误差（CVE-2019-2205）。。。。。。libpac是一个基于Chromium项目代码的库，，，，，，，该库使用静态链接的V8 JS引擎来剖析JavaScript，，，，，，，这为平台应用程序带来了重大的攻击面。。。。。。研究职员发明JS函数FindProxyForUrl上下文中的ArrayBuffers分派器声明不准确，，，，，，，可致栈上的VPTR被笼罩，，，，，，，这可能被用于执行恣意代码。。。。。。谷歌在11月Android清静更新中修复了该误差。。。。。。

原文链接：
https://www.nowsecure.com/blog/2019/11/13/nowsecure-discovers-critical-android-vuln-that-may-lead-to-remote-code-execution/

2、Android相机误差可神秘照相及录制视频

welcome-百乐博

Checkmarx的研究职员在Android相机应用中发明一个新误差，，，，，，，即APP可在没有权限的情形下照相、录制视频或获取装备的位置。。。。。。该误差（CVE-2019-2234）相当危险，，，，，，，由于它可以使APP在手机锁屏的状态下神秘照相和录像，，，，，，，也可以从存储的照片中提取GPS位置数据，，，，，，，还可以将这些数据发送回攻击者的远程效劳器。。。。。。凭证Google的说法，，，，，，，相机应用已于2019年7月通过Google Play市肆更新修复了此误差。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/android-camera-app-bug-lets-apps-record-video-without-permission/

3、黑客在网上宣布开曼银行的2TB数据

welcome-百乐博

黑客从开曼银行窃取了2TB的数据并宣布在网上。。。。。。据称这些数据是由黑客或黑客团伙Phineas Fisher窃取的，，，，，，，并通过Distributed Denial of Secrets项目宣布。。。。。。数据集中包括开曼银行为其全球客户治理的凌驾3800家公司、信托和小我私家账户的详细财务信息，，，，，，，甚至包括账户余额。。。。。�？？？胁⑽慈峡墒菪孤�，，，，，，，但清静专家注重到其许多效劳于11月17日因“重大升级和维护”而处于不可用状态。。。。。。

原文链接：
https://securityaffairs.co/wordpress/94136/data-breach/cayman-national-bank-data-leak.html

4、WordPress Jetpack插件误差影响数百万网站

welcome-百乐博

Jetpack开发团队鞭策WordPress网站治理员连忙应用Jetpack 7.9.1要害清静更新，，，，，，，以修复一个要害误差。。。。。。虽然该团队没有披露有关该误差的详细信息，，，，，，，但凭证Jetpack的通告，，，，，，，该误差影响了从5.1到2017年7月以来的所有版本。。。。。�？？？⒅霸碧逑置挥蟹⒚鞲梦蟛畋灰巴馐褂玫闹ぞ�。。。。。。Jetpack是一个受接待的WordPress插件，，，，，，，它为治理员提供免费的清静性和站点治理功效，，，，，，，该插件的活跃装置量为凌驾500万，，，，，，，开发团队体现已有凌驾400万网站装置了更新。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/millions-of-sites-exposed-by-flaw-in-jetpack-wordpress-plugin/

5、Oracle EBS会见控制不当误差影响上万家企业

welcome-百乐博

Oracle电子商务套件（EBS）中的两个要害误差可导致攻击者完全控制公司的ERP解决计划。。。。。。该误差被归类为CWE-284：会见控制不当，，，，，，，其CVSS得分为9.9分，，，，，，，被跟踪为CVE-2019-2638和CVE-2019-2633。。。。。。若是乐成使用这两个误差，，，，，，，未经授权的攻击者可使用电子汇款流程并打印银行支票而不被发明。。。。。。Oracle在4月主要补丁更新中修复了该误差，，，，，，，但凭证Onapsis研究团队的预计，，，，，，，目今约有50％的Oracle EBS客户尚未安排补�。。。。。。ǹ赡芏啻�1万个企业）。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/thousands-of-enterprises-at-risk-due-to-oracle-ebs-critical-flaws/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

百乐博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系百乐博

清静研究

信息清静周报-2019年第46周

关于百乐博

解决计划

联系百乐博

7*24小时效劳热线