信息清静周报-2020年第21周

宣布时间 2020-05-26

> 本周清静态势综述


2020年05月18日至05月24日共收录清静误差60个,,,,,值得关注的是Cisco Unified Contact Center Express反序列化代码执行误差; Apache Tomcat session反序列化代码执行误差;;;;;Google Chrome reader mode内存过失引用代码执行误差;;;;;Emerson Electric OpenEnterpris远程代码执行误差;;;;;Centreon main.get.php OS下令注入误差。。


本周值得关注的网络清静事务是iPhone邮件应用Edison Mail保存误差,,,,,泄露用户信息;;;;;澳大利亚公司BlueScope遭到攻击导致部分营业中止;;;;;Daimler 580多个Git存储库袒露,,,,,疾驰组件OLU源代码泄露;;;;;Adobe宣布紧迫带外更新,,,,,修复远程执行代码误差;;;;;黑客偷取Wishbone中4000万条用户信息,,,,,并在暗网标价出售。。


凭证以上综述,,,,,本周清静威胁为中。。


>主要清静误差列表


1. Cisco Unified Contact Center Express反序列化代码执行误差


Cisco Unified Contact Center Express Java远程治理界面保存反序列化误差,,,,,允许远程攻击者可以使用误差提交特殊的请求,,,,,可以root权限执行恣意代码。。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-rce-GMSC6RKN


2. Apache Tomcat session反序列化代码执行误差


Apache Tomcat保存清静误差,,,,,当使用tomcat时,,,,,若是使用了tomcat提供的session长期化功效,,,,,若是保存文件上传功效,,,,,恶意请求者通过一个流程,,,,,将能提倡一个恶意请求造成效劳端远程下令执行。。

https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E


3. Google Chrome reader mode内存过失引用代码执行误差


Google Chrome reader mode保存释放后使用误差,,,,,允许远程攻击者可以使用误差提交特殊的WEB请求,,,,,诱使用户剖析,,,,,可使应用程序瓦解唬唬唬唬或者以应用程序上下文执行恣意代码。。

https://chromereleases.googleblog.com/2020/05/stable-channel-update-for-desktop_19.html


4. Emerson Electric OpenEnterpris远程代码执行误差


Emerson Electric OpenEnterprise某通讯效劳保存清静误差,,,,,允许远程攻击者可以使用误差提交特殊的请求,,,,,可执行恣意代码。。

https://www.us-cert.gov/ics/advisories/icsa-20-140-02


5. Centreon main.get.php OS下令注入误差


Centreon main.get.php处置惩罚RRDdatabase_status_path参数保存清静误差,,,,,允许远程攻击者可以使用误差提交特殊的请求,,,,,可注入恣意OS下令。。

https://github.com/centreon/centreon/pull/8467



> 主要清静事务综述


1、iPhone邮件应用Edison Mail保存误差,,,,,泄露用户信息


凯旋国际游戏(中国)官方网站


原文链接:

https://news.softpedia.com/news/iphone-email-app-bug-caused-users-messages-to-show-up-on-other-phones-530003.shtml


2、澳大利亚公司BlueScope遭到攻击导致部分营业中止


凯旋国际游戏(中国)官方网站


原文链接:

https://www.zdnet.com/article/bluescope-reports-cyber-incident-affecting-australian-operations/


3、Daimler 580多个Git存储库袒露,,,,,疾驰组件OLU源代码泄露


凯旋国际游戏(中国)官方网站


原文链接:

https://www.zdnet.com/article/mercedes-benz-onboard-logic-unit-olu-source-code-leaks-online/


4、Adobe宣布紧迫带外更新,,,,,修复远程执行代码误差


凯旋国际游戏(中国)官方网站


原文链接:

https://www.bleepingcomputer.com/news/security/adobe-releases-critical-out-of-band-security-update/


5、黑客偷取Wishbone中4000万条用户信息,,,,,并在暗网标价出售


凯旋国际游戏(中国)官方网站


原文链接:

https://www.zdnet.com/article/hacker-selling-40-million-user-records-from-popular-wishbone-app/