首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2019年第3周

宣布时间 2019-01-21

本周清静态势综述

2019年1月14日至20日共收录清静误差50个，，，，，值得关注的是Brocade Network Advisor CVE-2018-6443硬编码凭证误差；；；；；；systemd-journald栈缓冲区溢出误差；；；；；；SAS Web Infrastructure Platform反序列化代码执行误差；；；；；；IDenticard Premisys数据库默认凭证误差；；；；；；LCDS LAquis SCADA未授权会见误差。。。。。。

本周值得关注的网络清静事务是机票预订系统Amadeus严重误差，，，，，影响全球141家航空公司;美Oklahoma州政府效劳器意外袒露3TB敏感数据;英国BSIA宣布互联清静系统最佳实践指南;VoIP效劳商VOIPO意外泄露已往四年的客户数据;ES文件浏览器两个误差使得凌驾1亿Android用户面临危害。。。。。。

凭证以上综述，，，，，本周清静威胁为中。。。。。。

主要清静误差列表

1. Brocade Network Advisor CVE-2018-6443硬编码凭证误差
Brocade Network Advisor保存硬编码误差，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，可登录到JBoss Administration界面并装置其他JEE应用程序。。。。。。
https://www.broadcom.com/support/fibre-channel-networking/security-advisories/brocade-security-advisory-2018-743

2. systemd-journald栈缓冲区溢出误差
systemd-journald实现保存缓冲区溢出误差，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，使systemd-journald瓦解唬�；；；；蛞詊ournald权限执行代码。。。。。。
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16864

3. SAS Web Infrastructure Platform反序列化代码执行误差
SAS Web Infrastructure Platform的反序列化误差，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，可执行恣意代码。。。。。。
https://support.sas.com/kb/63/391.html

4. IDenticard Premisys数据库默认凭证误差
IDenticard Premisys Identicard效劳在装置时使用默认的数据库用户名和密码，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，未授权会见数据库权限。。。。。。
http://www.securityfocus.com/bid/106552

5. LCDS LAquis SCADA未授权会见误差
LCDS LAquis SCADA实现保存清静误差，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，绕过身份验证，，，，，获取敏感信息。。。。。。
https://ics-cert.us-cert.gov/advisories/ICSA-19-015-01

主要清静事务综述

1、机票预订系统Amadeus严重误差，，，，，影响全球141家航空公司

以色列清静研究员Noam Rotem发明机票预订系统Amadeus保存一个严重的清静误差，，，，，可导致用户信息泄露和账户更改。。。。。。Rotem在以色列航空公司ELAL预订机票时发明了这一问题，，，，，在预订航班后，，，，，游客会收到PNR号码和用于审查预订信息的链接。。。。。。Rotem发明通过将该链接上的RULE_SOURCE_1_ID参数修改为其它人的PNR号码即可审查他人的预订信息，，，，，攻击者还可使用这些信息会见ELAL门户网站并更改受害者的账户信息，，，，，包括兑换里程、更改邮件地点和电话号码等。。。。。。由于Amadeus开发的机票预订系统被全球至少141家航空公司使用（包括美国联合航空公司、德国汉莎航空公司和加拿大航空公司等），，，，，因此该误差可能影响了数亿游客。。。。。。现在Amadeus已经修复了该问题。。。。。。

原文链接：
https://thehackernews.com/2019/01/airlines-flight-hacking.html

2、美Oklahoma州政府效劳器意外袒露3TB敏感数据

凯旋国际游戏(中国)官方网站

UpGuard研究职员Greg Pollock发明属于美国俄克拉荷马州证券部ODS的一台效劳器可果真会见，，，，，导致包括数百万敏感文件的约3TB政府数据袒露。。。。。。这些数据包括证券委员会数十年的神秘文件和许多敏感的FBI视察文件，，，，，以及约1万名股票经纪人的电子邮件、社会清静号码、姓名和地点信息等。。。。。。Shodan显示该效劳器至少从2018年11月30日最先可果真会见，，，，，约一周后ODS收到通知并对该效劳器实验了保唬�；；；；げ椒�。。。。。。

原文链接：
https://thehackernews.com/2019/01/oklahoma-fbi-data-leak.html

3、英国BSIA宣布互联清静系统最佳实践指南

凯旋国际游戏(中国)官方网站

英国安防行业协会（BSIA）宣布互联清静系统最佳实践指南。。。。。。该指南旨在最大限度地镌汰电子清静系统中的网络毗连装备、软件和系统的数字破损危害。。。。。。该指南以行业的最佳国际实践为基础，，，，，并参考公认的国际指南和标准，，，，，可以资助互联清静系统供应链中的设计者、制造商、装置职员、维护职员、效劳提供商和用户提升清静毗连的信心。。。。。。

原文链接：
https://www.infosecurity-magazine.com/news/bsia-guidelines-digital-sabotage/

4、VoIP效劳商VOIPO意外泄露已往四年的客户数据

凯旋国际游戏(中国)官方网站

研究职员Justin Paine通过Shodan发明一个可果真会见的ElasticSearch数据库，，，，，该数据库属于VoIP效劳商VOIPO，，，，，其中包括了该公司已往四年的客户数据。。。。。。凭证Paine的说法，，，，，该数据库包括可追溯至2017年7月的670万条通话纪录、可追溯至2015年12月的600万条短信/彩信日志以及100万条包括内部系统API KEY的日志。。。。。。研究职员于1月8日向VOIPO转达了这一发明，，，，，该公司在统一天将数据库举行了脱机保唬�；；；；�。。。。。。

原文链接：
https://thehackernews.com/2019/01/voip-service-database-hacking.html

5、ES文件浏览器两个误差使得凌驾1亿Android用户面临危害

凯旋国际游戏(中国)官方网站

清静研究员Robert Baptiste在ES文件浏览器中发明一个始终在后台运行的隐藏Web效劳器（端口59777），，，，，与受害者处于统一外地网络的攻击者可获取受害者手机的大宗有用信息（包括装备信息、app装置信息、文件等)，，，，，甚至可以远程启动app。。。。。。该误差被跟踪为CVE-2019-6447，，，，，研究职员还宣布了POC剧本。。。。。。别的，，，，，ESET研究职员Lukas Stefanko发明了另一其中心人（MitM）攻击误差，，，，，影响了4.1.9.7.4及之前的版本。。。。。。ES文件浏览器开发团队体现修复补丁将在约莫两天后推出。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/es-file-explorer-flaws-put-100-million-users-data-at-risk-fix-promised/

声明：本资讯由凯旋国际游戏维他命清静小组翻译和整理

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

凯旋国际游戏

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯旋国际游戏

清静研究

信息清静周报-2019年第3周

关于凯旋国际游戏

解决计划

清静研究

联系凯旋国际游戏

7*24小时效劳热线