首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第46周

颁布功夫 2019-11-25

>本周安全态势综述

2019年11月18日至24日共收录安全缝隙50个，，值得关注的是Apache Solr solr.in.sh远程代码执行缝隙; Apache Shiro "remember me" Oracle Padding攻击缝隙；；ISC BIND TCP客户端数量限度回绝服务缝隙；；Fortinet FortiOS SSL VPN门户回绝服务缝隙；；Qualcomm QCA6174_9377 Bluetooth HOST权限提升缝隙。。

本周值得关注的网络安全事务是NowSecure披露Android libpac库中的RCE缝隙；；Android相机缝隙可奥秘拍照及录制视频；；黑客在网上颁布开曼银行的2TB数据；；WordPress Jetpack插件缝隙影响数百万网站；；Oracle EBS接见节制不当缝隙影响上万家企业。。

凭据以上综述，，本周安全威胁为中。。

>重要安全缝隙列表

1. Apache Solr solr.in.sh远程代码执行缝隙
Apache Solr没有安全地设置默认solr.in.sh配置文件的ENABLE_REMOTE_JMX_OPTS配置选项，，允许远程攻击者利用缝隙提交特殊的要求，，未授权上传代码并执行。。
https://lists.apache.org/thread.html/6640c7e370fce2b74e466a605a46244ccc40666ad9e3064a4e04a85d@%3Csolr-user.lucene.apache.org%3E

2. Apache Shiro "remember me" Oracle Padding攻击缝隙
Apache Shiro "remember me"存在Oracle Padding缝隙，，允许远程攻击者利用缝隙提交特殊的要求，，可获取敏感信息。。
https://lists.apache.org/thread.html/c9db14cfebfb8e74205884ed2bf2e2b30790ce24b7dde9191c82572c@%3Cdev.shiro.apache.org%3E

3. ISC BIND TCP客户端数量限度回绝服务缝隙
ISC BIND TCP客户端数量限度处置存在安全缝隙，，允许远程攻击者能够利用缝隙提交单个链接上通过一个TCP客户端发送大量DNS要求，，可使系统崩溃。。
https://access.redhat.com/security/cve/cve-2019-6477

4. Fortinet FortiOS SSL VPN门户回绝服务缝隙
Fortinet FortiOS SSL VPN存在输入验证缝隙，，允许远程攻击者能够利用缝隙提交特殊的要求，，可使SSL VPN服务崩溃。。
https://www.auscert.org.au/bulletins/ESB-2019.4388/

5. Qualcomm QCA6174_9377 Bluetooth HOST权限提升缝隙
Qualcomm QCA6174_9377 Bluetooth HOST权限处置存在安全缝隙，，允许低权限攻击者能够利用缝隙提交特殊的要求，，写恶意注册数据，，提升权限。。
https://www.qualcomm.com/company/product-security/bulletins/october-2019-bulletin

>重要安全事务综述

1、NowSecure披露Android libpac库中的RCE缝隙

OG东方厅·(中国大陆)

NowSecure钻研人员发现Android系统使用的libpac库中存在RCE缝隙（CVE-2019-2205）。。libpac是一个基于Chromium项目代码的库，，该库使用静态链接的V8 JS引擎来解析JavaScript，，这为平台利用法式带来了巨大的攻击面。。钻研人员发现JS函数FindProxyForUrl高低文中的ArrayBuffers分配器申明不正确，，可致栈上的VPTR被覆盖，，这可能被用于执行肆意代码。。谷歌在11月Android安全更新中修复了该缝隙。。

原文链接：：：
https://www.nowsecure.com/blog/2019/11/13/nowsecure-discovers-critical-android-vuln-that-may-lead-to-remote-code-execution/

2、Android相机缝隙可奥秘拍照及录制视频

OG东方厅·(中国大陆)

Checkmarx的钻研人员在Android相机利用中发现一个新缝隙，，即APP可在没有权限的情况下拍照、录制视频或获取设备的地位。。该缝隙（CVE-2019-2234）相当危险，，由于它能够使APP在手机锁屏的状态下奥秘拍照和录像，，也能够从存储的照片中提取GPS地位数据，，还能够将这些数据发送回攻击者的远程服务器。。凭据Google的说法，，相机利用已于2019年7月通过Google Play商店更新修复了此缝隙。。

原文链接：：：
https://www.bleepingcomputer.com/news/security/android-camera-app-bug-lets-apps-record-video-without-permission/

3、黑客在网上颁布开曼银行的2TB数据

OG东方厅·(中国大陆)

黑客从开曼银行窃取了2TB的数据并颁布在网上。。据称这些数据是由黑客或黑客团伙Phineas Fisher窃取的，，并通过Distributed Denial of Secrets项目颁布。。数据集中蕴含开曼银行为其全球客户治理的超过3800家公司、信任和小我账户的具体财政信息，，甚至蕴含账户余额。。开曼银行并未认可数据泄露，，但安全专家把稳到其很多服务于11月17日因“重大升级和守护”而处于不成用状态。。

原文链接：：：
https://securityaffairs.co/wordpress/94136/data-breach/cayman-national-bank-data-leak.html

4、WordPress Jetpack插件缝隙影响数百万网站

OG东方厅·(中国大陆)

Jetpack开发团队督促WordPress网站治理员立刻利用Jetpack 7.9.1关键安全更新，，以修复一个关键缝隙。。固然该团队没有披露有关该缝隙的具体信息，，但凭据Jetpack的布告，，该缝隙影响了从5.1到2017年7月以来的所有版本。。开发人员暗示没有发现该缝隙被野外利用的证据。。Jetpack是一个受欢迎的WordPress插件，，它为治理员提供免费的安全性和站点治理职能，，该插件的活跃装置量为超过500万，，开发团队暗示已有超过400万网站装置了更新。。

原文链接：：：
https://www.bleepingcomputer.com/news/security/millions-of-sites-exposed-by-flaw-in-jetpack-wordpress-plugin/

5、Oracle EBS接见节制不当缝隙影响上万家企业

OG东方厅·(中国大陆)

Oracle电子商务套件（EBS）中的两个关键缝隙可导致攻击者齐全节制公司的ERP解决规划。。该缝隙被归类为CWE-284：：：接见节制不当，，其CVSS得分为9.9分，，被跟踪为CVE-2019-2638和CVE-2019-2633。。若是成功利用这两个缝隙，，未经授权的攻击者可把持电子汇款流程并打印银行支票而不被发现。。Oracle在4月重要补丁更新中修复了该缝隙，，但凭据Onapsis钻研团队的估计，，当前约有50％的Oracle EBS客户尚未部署补�。。ǹ赡芏啻�1万个企业）。。

原文链接：：：
https://www.bleepingcomputer.com/news/security/thousands-of-enterprises-at-risk-due-to-oracle-ebs-critical-flaws/

7*24小时服务热线

400-624-3900

官方微信

官方微博

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研

信息安全周报-2019年第46周

关于OG东方厅

解决规划

联系OG东方厅

7*24小时服务热线