首页 > 安全钻研 > 安全传递 > 安全简讯

Adobe安全更新建复Magento中两个沉要的代码执行缝隙；Dell iDRAC存在遍历缝隙，可齐全节造服务器

颁布功夫 2020-07-30

1.Adobe颁布安全更新，建复Magento中两个代码执行缝隙

GA黄金甲·(中国区)官方网站

Adobe颁布了安全更新，以建复Magento Commerce和Magento Open Source中的两个严沉的代码执行缝隙。其中一个是由蹊径遍历谬误引起的，被跟踪为CVE-2020-9689，它允许拥有治理员权限的攻击者执行肆意代码。另一个是基于DOM的跨站剧本缝隙，被追踪为CVE-2020-9691，它允许使未经身份验证的攻击者执行肆意代码。此表，这次更新还建复了由可观察到的功夫差引起的署名验证绕过缝隙（CVE-2020-9690）。目前，针对该缝隙尚无已知的利用和攻击。

原文链接：

https://www.bleepingcomputer.com/news/security/magento-gets-security-updates-for-severe-code-execution-bugs/

2.Google颁布安全更新，建复Chrome中的8个缝隙

GA黄金甲·(中国区)官方网站

Google颁布安全更新，建复了Chrome中的8个缝隙，影响了Windows、Mac和Linux系统下的Chrome版本84.0.4147.105。这次更新中建复的较为严沉的缝隙为V8中的类型混合问题（CVE-2020-6537）、WebView中的实现不当问题（CVE-2020-6538）、SCTP开释后使用问题（CVE-2020-6532）、CSS开释后使用问题（CVE-2020-6539）、Skia中的堆缓冲区溢露马脚（CVE-2020-6540）以及WebUSB开释后使用问题（CVE-2020-6541）。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/07/28/google-releases-security-updates-chrome

3.Dell iDRAC存在遍历缝隙，可被黑客利用齐全节造服务器

GA黄金甲·(中国区)官方网站

Positive Technologies钻研人员发现Dell远程接见节造器（iDRAC）中存在遍历缝隙（CVE-2020-5366），可被黑客利用齐全节造服务器。通过利用此缝隙，经过远程身份验证的攻击者能够打开和关关产品，或更改其散热和电源设置。除此之表，该缝隙可被利用读取节造器操作系统中的任何文件，并且在某些情况下滋扰节造器的操作。该缝隙会影响固件版本为4.20.20.20之前的Dell EMC iDRAC9节造器，Dell EMC在检测到该缝隙之后便颁布了安全更新，并督促用户尽快装置。

原文链接：

https://www.infosecurity-magazine.com/news/dell-emc-patches-idrac/

4.新型Linux后门Doki使用Dogecoin API，针对Docker事俘

GA黄金甲·(中国区)官方网站

Intezer Labs发现，新型Linux后门法式Doki使用了Dogecoin API，针对Docker事俘。黑客组织Ngrok自2018年底以来一向活跃，最初偏差于使用Ngrok服务托管C＆C服务器。而在该组织最近一次的攻击中，其针对泄露了治理API的Docker事俘。黑客通过利用Docker API在指标公司的云基础架构中部署新服务器，随后运行习染了加密挖矿恶意软件Doki的Alpine Linux服务器。钻研人员暗示，Doki的主张是允许黑客节造其新部署的Alpine Linux服务器，以确保加密采矿操作按预期运行。

原文链接：

https://www.zdnet.com/article/new-linux-malware-uses-dogecoin-api-to-find-c-c-server-addresses/#ftag=RSSbaffb68

5.卡巴斯基发现勒索软件VHD与朝鲜黑客组织Lazarus有关

GA黄金甲·(中国区)官方网站

卡巴斯基颁布的汇报显示，勒索软件VHD与朝鲜黑客组织Lazarus有关。钻研人员在2020年3月至5月的调查中发现了勒索软件VHD的样本，这些样本利用SMB暴力破解分发MATA恶意软件框架。VHD可荫蔽地衔接到受害者的电脑驱动器，加密文件，并删除所有的System Volume Information文件夹，从而粉碎系统中的Windows还原职能。并且，它能够禁用预防沉要文件被篡改的过程，例如Microsoft Exchange或SQL Server�？ò退够⑾諱anuscrypt木马也使用了MATA框架，因而判断同样使用了该恶意框架的VHD与Lazarus有关。

原文链接：

https://www.bleepingcomputer.com/news/security/north-korean-hackers-created-vhd-ransomware-for-enterprise-attacks/

6.IBM颁布汇报，2020年度均匀数据泄露成本为386万美元

GA黄金甲·(中国区)官方网站

IBM于本周三颁布了年度数据泄露成本汇报，2020年度均匀数据泄露成本为386万美元。只管与2019年相比，均匀成本降落了1.5％，但泄露超过5000万笔纪录的超大型泄漏事务的成本可能高达3.92亿美元，高于2019年的3.88亿美元。总体而言，帐户痛处泄露以及云配置谬误导致了近40％的数据泄露事务。此表，利用第三方缝隙，例如0day，也是造成数据泄露的沉要成分，一家因而类缝隙导致数据泄露的公司可能必要支付高达450万美元的赔偿。但是，若是企业采办了网络保险，则均匀可削减20万美元的损失。

原文链接：

https://www.zdnet.com/article/todays-mega-data-breaches-now-cost-companies-392-million-in-damages-lawsuits/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Adobe安全更新建复Magento中两个沉要的代码执行缝隙；Dell iDRAC存在遍历缝隙，可齐全节造服务器

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

Adobe安全更新建复Magento中两个沉要的代码执行缝隙；Dell iDRAC存在遍历缝隙，可齐全节造服务器

7*24幼时服务热线

Adobe安全更新建复Magento中两个沉要的代码执行缝隙；Dell iDRAC存在遍历缝隙，可齐全节造服务器