首页 > 安全研究 > 安全通报 > 安全周报

信息安全周报-2019年第5周

发布时间 2019-03-04

本周安全态势综述


2019年1月28日至2月03日共收录安全漏洞42个,值得关注的是Apache Hadoop CVE-2018-1296安全绕过漏洞;D-Link DIR-823G HNAP1请求命令注入漏洞;ACD Systems Canvas Draw CVE-2018-3976缓冲区溢出漏洞;ARM Trusted Firmware-A信息泄露漏洞;Google Chrome PDFium CVE-2019-5772释放后利用代码执行漏洞。

本周值得关注的网络安全事件是数据管理公司Rubrik意外泄露大量客户数据;FaceTime曝重大窃听漏洞,Apple表示将在本周修复;欧洲网络信息安全局ENISA发布2018年网络威胁景观报告;印度国家银行SBI意外泄露数百万客户信息;荷兰DPA发布2018年数据泄露统计报告。

根据以上综述,本周安全威胁为中。

重要安全漏洞列表


1. Apache Hadoop CVE-2018-1296安全绕过漏洞
Apache Hadoop存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,绕过安全限制,执行未授权的操作。
https://hadoop.apache.org/cve_list.html#cve-2018-8009-http-cve-mitre-org-cgi-bin-cvename-cgi-name-cve-2018-8009-zip-slip-impact-on-apache-hadoop

2. D-Link DIR-823G HNAP1请求命令注入漏洞
D-Link DIR-823G存在代码注入漏洞,允许远程攻击者可以利用漏洞提交特殊的HNAP1请求,可以应用程序上下文执行OS命令。
https://github.com/leonW7/D-Link/blob/master/Vul_1.md

3. ACD Systems Canvas Draw CVE-2018-3976缓冲区溢出漏洞
ACD Systems Canvas Draw CALS Raster文件解析功能存在越界写入漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或执行任意代码。
https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0642

4. ARM Trusted Firmware-A信息泄露漏洞
ARM Trusted Firmware-A存在安全漏洞,允许本地攻击者利用漏洞提交特殊的请求,可获取敏感信息。
https://github.com/ARM-software/arm-trusted-firmware/wiki/Trusted-Firmware-A-Security-Advisory-TFV-8

5. Google Chrome PDFium CVE-2019-5772释放后利用代码执行漏洞
Google Chrome PDFium存在释放后使用漏洞,允许远程攻击者利用漏洞提交特殊的WEB页请求,诱使用户解析,可获取敏感信息。
https://chromereleases.googleblog.com/2019/01/stable-channel-update-for-desktop.html

 重要安全事件综述


1、数据管理公司Rubrik意外泄露大量客户数据


安全研究员Oliver Hough发现属于数据管理公司Rubrik的一个Elasticsearch服务器未受密码保护,该数据库存储了数十GB的数据,包含企业客户的名称、联系信息和工作案例。根据时间戳,这些数据可追溯至2018年10月。经过调查,Rubrik称这一事件是由人为错误导致的。

原文链接:
https://techcrunch.com/2019/01/29/rubrik-data-leak/

2、FaceTime曝重大窃听漏洞,Apple表示将在本周修复


据外媒报道,Apple FaceTime存在重大安全漏洞,可允许攻击者在目标接听或拒绝FaceTime通话之前监听对方的声音。如果对方按下音量降低按钮或电源按钮来静音或取消通话,则其前置摄像头也会打开,并将视频信号发送给攻击者。据悉,该漏洞会出现在iOS 12.1或更高版本的iOS设备中。Apple已经临时禁用了FaceTime中的群组通话功能,并表示将在本周晚些时候发布修复补丁。

原文链接:
https://thehackernews.com/2019/01/apple-facetime-privacy-hack.html

3、欧洲网络信息安全局ENISA发布2018年网络威胁景观报告


欧洲网络信息安全局(ENISA)发布2018年威胁景观报告,该报告重点介绍了2018年的网络威胁趋势变化,包括电子邮件和钓鱼短信已经成为主要的恶意软件感染媒介;恶意矿工成为犯罪分子的重要获利手段;国家资助的犯罪团伙越来越多地瞄准银行;由于缺少低端物联网设备和服务的保护机制,对通用物联网保护架构/良好实践的需求仍然是一个紧迫的问题;威胁情报需要使用新的自动化工具和方法来应对自动化的攻击;安全领域应该重点关注人才和技能的培训。该报告还从政策、企业以及技术、研究和教育方面提出了建议。

原文链接:
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018/

4、印度国家银行SBI意外泄露数百万客户信息


匿名安全研究人员发现一台用于银行加速服务的服务器,这是一种基于移动的信息服务。该数据库在没有保护的情况下被公开,该数据库包含数百万条短信,可追溯到12月份,包括客户的电话号码,部分银行账号,银行余额和交易记录。好消息是,印度国家银行在得知问题后数小时内迅速解决了这个问题,遗憾的是,不知道数据在网上暴露了多长时间。这些信息的可用性给银行客户带来了严重的风险,威胁行为者可以使用它来瞄准银行客户。

原文链接:
https://securityaffairs.co/wordpress/80555/data-breach/state-bank-of-india-leak.html

5、荷兰DPA发布2018年数据泄露统计报告


2019年1月29日,荷兰数据保护局(Autoriteit Persoonsgegevens,“荷兰DPA”)发表了一份报告关于2018年收到的个人数据泄露通知(“报告”)。欧盟通用数据保护法规(“GDPR”)要求数据管理员在知悉后的72小时内将数据泄露通知主管数据保护局(“DPA”)。在荷兰,自2016年1月1日起,该违规通知要求已经实施。但是,GDPR规定了额外的要求,包括:在违规通知中提供某些信息; 如果违规行为可能对这些人的权利和自由造成高风险,数据管理员有义务通知受影响的个人; 公司有义务记录任何个人数据泄露事件。2018年,荷兰DPA收到的数据泄露通知数量增加了一倍,共计20,881次违规通知。受影响最大的部门是健康和福利部门(通报的违规行为的29%),金融部门(通知的违规行为的26%)和公共部门(17%的违规通知)。

原文链接:
https://www.databreaches.net/dutch-dpa-publishes-2018-report-on-data-breach-statistics/

声明:本资讯由启明星辰维他命安全小组翻译和整理

上一篇 下一篇