信息安全周报-2019年第30周
发布时间 2019-08-05> 本周安全态势综述
2019年7月29日至8月04日共收录安全漏洞50个,值得关注的是Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP密码更改命令注入漏洞;Puppet Enterprise PE's express install默认密码漏洞;Wind River Systems VxWorks IP选项解析缓冲区溢出漏洞;Polycom UC Software上传文件代码执行漏洞;cPanel SQL注入漏洞。
本周值得关注的网络安全事件是纽约通过新数据泄露通知法案,数据监管再次升级;Capital One泄露1.06亿用户信息,嫌疑人已被捕;VxWorks修复11个安全漏洞,影响超过20亿台设备;Amcrest家用摄像头严重漏洞,可允许攻击者远程监听用户;智利1430万公民信息泄露,占全国总人口近80%。
根据以上综述,本周安全威胁为中。
> 重要安全漏洞列表
1. Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP密码更改命令注入漏洞
Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP 密码更改界面更改密码处理存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可执行任意OS命令。
https://www.sit.fraunhofer.de/fileadmin/dokumente/CVE/Advisory_Alcatel_8008CloudEditionDeskPhone.pdf?_=15590263402. Puppet Enterprise PE's express install默认密码漏洞
https://puppet.com/security/cve/CVE-2019-10694
3. Wind River Systems VxWorks IP选项解析缓冲区溢出漏洞
https://www.us-cert.gov/ics/advisories/icsa-19-211-01
4. Polycom UC Software上传文件代码执行漏洞
https://support.polycom.com/content/dam/polycom-support/global/documentation/remote-code-execution-vulnerability-in-ucs-software-v1-0.pdf
5. cPanel SQL注入漏洞
https://documentation.cpanel.net/display/CL/58+Change+Log
> 重要安全事件综述
1、纽约通过新数据泄露通知法案,数据监管再次升级
原文链接:https://www.bleepingcomputer.com/news/security/new-york-passes-law-to-update-data-breach-notification-requirements/
2、Capital One泄露1.06亿用户信息,嫌疑人已被捕
Capital One确认其系统于3月22日至23日期间遭未授权访问,导致1.06亿用户的信息泄露,包括交易数据、信用评分、支付历史、余额以及关联的银行账户和社会安全号码。受影响的用户包括1亿美国人和600万加拿大人。根据相关证据,FBI已经逮捕了嫌疑人Paige Thompson。Capital One表示由于客户通知、免费的信用监控服务、安全改进成本以及法律费用,这一事件将导致约1亿至1.5亿美元的成本。
原文链接:https://www.bleepingcomputer.com/news/security/capital-one-data-breach-affects-106-million-people-suspect-arrested/
3、VxWorks修复11个安全漏洞,影响超过20亿台设备
原文链接:https://thehackernews.com/2019/07/vxworks-rtos-vulnerability.html
4、Amcrest家用摄像头严重漏洞,可允许攻击者远程监听用户
安全厂商Tenable发现Amcrest IP2M-841B家用摄像头存在一个严重漏洞,可允许攻击者通过HTTP远程监听摄像头的音频输入。该漏洞被标记为CVE-2019-3948,影响了摄像头固件版本V2.520.AC00.18.R,并且无需身份验证即可利用。此外,该产品也易受身份验证绕过漏洞(CVE-2017-7927)攻击。Amcrest已经发布相关修复补丁。
原文链接:https://www.zdnet.com/article/iot-home-security-camera-allows-hackers-to-listen-in-over-http/
5、智利1430万公民信息泄露,占全国总人口近80%
原文链接:https://www.zdnet.com/article/voter-records-for-80-of-chiles-population-left-exposed-online/