GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第38周

颁布功夫 2020-09-21

> 本周安全态势综述

2020年09月14日至09月20日共收录安全缝隙57个，值得关注的是Adobe Media Encoder CVE-2020-9745越界读信息泄露缝隙；Gallagher Group Command Centre客户端挂起缝隙；Hyland OnBase CVE-2020-25248目录遍历缝隙；IPTV/H.264/H.265视频编码器后门密码治理员接见缝隙；Google Android Framework CVE-2020-0275权限提升缝隙。

本周值得关注的网络安全事务是Razer数据库露出导致其约10万用户信息泄露；Redgate颁布2020年度数据库状态监测汇报；英国国度网络安全中心（NCSC）颁布缝隙披露指南；卡巴斯基颁布2020年工业网络安全调查钻研汇报；德国购物网站windeln.de数据库露出，泄露60亿笔纪录。

凭据以上综述，本周安全威胁为中。

> 沉要安全缝隙列表

1.Adobe Media Encoder CVE-2020-9745越界读信息泄露缝隙

Adobe Media Encoder存在越界读安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，可获取敏感信息。

https://helpx.adobe.com/security/products/media-encoder/apsb20-57.html

2. Gallagher Group Command Centre客户端挂起缝隙

Gallagher Group Command Centre创建Guard Tour事务存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，可使客户端临时挂起或断开衔接。

https://security.gallagher.com/Security-Advisories/CVE-2020-16099

3.Hyland OnBase CVE-2020-25248目录遍历缝隙

Hyland OnBase存在蹊径遍历缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，以利用法式高低文读取系统文件或写入系统到文件。

https://seclists.org/fulldisclosure/2020/Sep/21

4. IPTV/H.264/H.265视频编码器后门密码治理员接见缝隙

IPTV/H.264/H.265视频编码器存在后门密码缝隙，允许远程攻击者利用缝隙提交特殊的要求，可未授权齐全节造利用。

https://www.kb.cert.org/vuls/id/896979

5. Google Android Framework CVE-2020-0275权限提升缝隙

Google Android Framework存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，能够利用法式高低文执行肆意代码。

https://source.android.com/security/bulletin/android-11

> 沉要安全事务综述

1、Razer数据库露出导致其约10万用户信息泄露

8月19日，钻研员Bob Diachenko发现游戏硬件造作商Razer的在线商店的数据库露出，导致其约10万用户信息泄露。这次泄露的信息蕴含客户的姓名、电子邮件地址、电话号码、订单号、订单明细以及帐单和送货地址等。Razer于在9月9日建复了该数据库服务器，并暗示该事务中并没有其他敏感数据泄露，例如信誉卡号或密码等信息。

原文链接：

https://www.bleepingcomputer.com/news/security/razer-data-leak-exposes-personal-information-of-gamers/

2、Redgate颁布2020年度数据库状态监测汇报

Redgate最新颁布了2020年度数据库状态监测汇报。汇报显示，无论是在选取数据库DevOps方面，还是在使用监控来跟踪数据库机能和部署方面，金融服务行业的阐发都优于其他行业。其中，61%的金融服务行业员工每周更新至少一次数据库，而其他行业只有43%的员工会这样做。金融服务的服务器数量也更多，36%的服务器占有50到500个事俘，而其他部门只有26%。

原文链接：

https://www.helpnetsecurity.com/2020/09/14/database-monitoring-improves-devops-success/

3、英国国度网络安全中心（NCSC）颁布缝隙披露指南

英国国度网络安全中心（NCSC）颁布了缝隙披露指南，以援手公司执行缝隙披露流程或在已经成立缝隙披露流程的情况下对其进行改进。NCSC暗示，该指南并不是一个缝隙披露的规定手册，而是为更好的执行提供了必要的信息。其重要分为三个重要部门，描述了若何将表部缝隙信息定向给相宜的人，以及汇报需遵循关关缝隙的框架尺度。

原文链接：

https://www.bleepingcomputer.com/news/security/uk-government-releases-toolkit-to-easily-disclose-vulnerabilities/

4、卡巴斯基颁布2020年工业网络安全调查钻研汇报

卡巴斯基对疫情期间的工业网络安全情况进行了钻研，并颁布了2020年工业网络安全调查钻研汇报。汇报显示，超过一半(53%)的受访者认可，COVID-19导致更多员工在家办公，这已成为对信息安全服务的一种压力测试。由于表部衔接数量多多，此刻绝大无数公司都在对OT网络的安全级别进行定期评估。很多组织不得不沉新思考他们内网的�；げ街�，只有7%的受访者暗示，他们的网络安全战术在COVID-19期间相当有效。

原文链接：

https://www.kaspersky.com/blog/industrial-cybersecurity-2020/37031/

5、德国购物网站windeln.de数据库露出，泄露60亿笔纪录

Safety Detectives的钻研人员在网络上发现了一个露出的数据库，经调查该数据库属于德国在线购物网站windeln.de。其露出了6.4TB的数据，其中蕴含60亿笔纪录，泄露了超过700000名客户的幼我信息。这次事务的泄露信息蕴含幼我身份信息（PII）和其他数据，例如发票、全名、IP地址、内部日志、电话号码、电子邮件地址、家庭地址、散列密码、付款方式和用户的孩子幼我信息等。

原文链接：

https://www.hackread.com/shopping-site-leaks-miners-data-database-mess-up/

上一篇下一篇

7*24幼时服务热线

400-624-3900

04152424g9z1

官方微信

12145445s033

官方微博

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】