首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2020年第04周

宣布时间 2020-02-04

> 本周清静态势综述

2020年01月20日至26日共收录清静误差42个，，，，，，，，值得关注的是Cisco Webex Video Mesh WEB接口恣意下令执行误差; Ruckus Wireless Unleashed emfd恣意OS下令执行误差；；；；；；Trustwave ModSecurity Transaction::addRequestHeader拒绝效劳误差；；；；；；Honeywell Maxpro VMS & NVR反序列化代码执行误差；；；；；；Philips Hue Bridge ZCL堆溢出误差。。。。。。。

本周值得关注的网络清静事务是美国国家标准手艺研究院宣布隐私危害治理框架1.0版；；；；；；GDPR羁系机构迄今为止已�？？？？？�1.26亿美元；；；；；；微软泄露2.5亿条呼叫中心纪录，，，，，，，，客户邮箱及IP地点袒露；；；；；；研究职员披露FortiSIEM中的硬编码SSH密钥误差；；；；；；苹果宣布透明度报告，，，，，，，，披露各国政府请求苹果用户数据情形。。。。。。。

凭证以上综述，，，，，，，，本周清静威胁为中。。。。。。。

>主要清静误差列表

1. Cisco Webex Video Mesh WEB接口恣意下令执行误差

Cisco Webex Video Mesh WEB接口保存输入验证误差，，，，，，，，允许通过验证的远程攻击者使用误差提交特殊的请求，，，，，，，，可以root权限执行恣意下令。。。。。。。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-webex-video

2. Ruckus Wireless Unleashed emfd恣意OS下令执行误差

Ruckus Wireless Unleashed emfd admin/_cmdstat.jsp不准确处置惩罚xcmd=import-category属性，，，，，，，，允许远程攻击者使用误差提交特殊的POST请求，，，，，，，，可以应用程序上下文执行恣意OS下令。。。。。。。

https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10816.html

3. Trustwave ModSecurity Transaction::addRequestHeader拒绝效劳误差

Trustwave ModSecurity Transaction::addRequestHeader保存清静误差，，，，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，，，，可举行拒绝效劳攻击。。。。。。。

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/modsecurity-denial-of-service-details-cve-2019-19886/

4. Honeywell Maxpro VMS & NVR反序列化代码执行误差

Honeywell Maxpro VMS & NVR处置惩罚WEB请求保存反序列化误差，，，，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，，，，可执行恣意代码。。。。。。。

https://www.us-cert.gov/ics/advisories/icsa-20-021-01

5. Philips Hue Bridge ZCL堆溢出误差

Philips Hue Bridge处置惩罚超长ZCL字符串保存堆溢出误差，，，，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，，，，可以应用程序上下文执行恣意代码。。。。。。。

https://www2.meethue.com/en-us/support/release-notes/bridge

> 主要清静事务综述

1、美国国家标准手艺研究院宣布隐私危害治理框架1.0版

万利国际官网(中国游)有限公司

美国国家标准手艺研究院（NIST）上周宣布了隐私框架1.0版，，，，，，，，该工具旨在资助组织治理隐私危害。。。。。。。NIST于2019年9月宣布了隐私框架初稿并网络公众意见，，，，，，，，该机构最初希望在2019年底之前宣布1.0版，，，，，，，，但直到1月16日才正式宣布。。。。。。。NIST隐私框架旨在通过关注三个主要方面来资助种种规模和各个部分的组织治理隐私危害：在开发产品或效劳时要思量到隐私、交流隐私老例以及跨组织的协作。。。。。。。该框架包括三个主要部分：焦点、提要和实现层。。。。。。。焦点提供一组细化的活动和效果，，，，，，，，其目的是实现内部相同。。。。。。。提要层体现组织已确定焦点职能、种别和子类别的优先级别。。。。。。。最后，，，，，，，，实验层可资助组织优化实现提要层所需的资源。。。。。。。

原文链接：

https://www.securityweek.com/nist-releases-framework-privacy-risk-management

2、GDPR羁系机构迄今为止已�？？？？？�1.26亿美元

万利国际官网(中国游)有限公司

一项新的视察发明，，，，，，，，迄今为止羁系机构已对数据泄露和其他GDPR侵权行为处以了价值1.26亿美元的�？？？？？�。。。。。。。凭证DLA Piper的GDPR数据违规视察，，，，，，，，数据�；；；；；；ゎ肯祷乖�2018年5月25日至2020年1月27日时代对GDPR相关的�？？？？？钗�1.14亿欧元（约合1.26亿美元/ 9,700万英镑）。。。。。。。这家国际状师事务所指出，，，，，，，，法国、德国和奥地利的�？？？？？钭芏钭罡撸�，，，，，，，划分为5100万欧元，，，，，，，，2450万欧元和1800万欧元。。。。。。。该报告并未涵盖英国信息专员办公室（ICO）对英国航空公司（British Airways）处以1.83亿英镑的GDPR�？？？？？罴岸酝蚝拦使荆∕arriott International）举行9990万英镑的GDPR�？？？？？睿�，，，，，，，由于阻止报告完成时ICO尚未最终确定处以�？？？？？�。。。。。。。

原文链接：

https://www.tripwire.com/state-of-security/security-data-protection/gdpr-regulators-have-imposed-126m-in-fines-thus-far-finds-survey/

3、微软泄露2.5亿条呼叫中心纪录，，，，，，，，客户邮箱及IP地点袒露

万利国际官网(中国游)有限公司

去年年底，，，，，，，，Comparitech的清静研究团队发明了几台效劳器，，，，，，，，每台效劳器都包括与Microsoft支持署理和客户相同的2.5亿呼叫中心纪录。。。。。。。这些纪录所笼罩的时间段为2005年至2019年12月，，，，，，，，其并没有使用密码�；；；；；；せ蚣用埽�，，，，，，，这也意味着，，，，，，，，任何可以会见互联网的人都可以对其举行会见。。。。。。。大大都小我私家身份信息已从纪录中删除。。。。。。。可是，，，，，，，，仍然保存大宗以纯文本名堂存储的信息，，，，，，，，包括：客户电子邮件地点、IP地点、位置、CSS声明和案例的形貌、Microsoft支持署理电子邮件、案例编号、案例解决计划，，，，，，，，案例备注和标记为“神秘”的内部注释。。。。。。。

原文链接：

https://www.infosecurity-magazine.com/news/microsoft-exposes-250-million-call/

4、研究职员披露FortiSIEM中的硬编码SSH密钥误差

万利国际官网(中国游)有限公司

Cybera的清静专家Andrew Klaus发明Fortinet清静信息和事务治理器 FortiSIEM中的硬编码SSH公钥误差，，，，，，，，可被滥用于会见FortiSIEM Supervisor。。。。。。。该硬编码SSH密钥属于用户“tunneluser”。。。。。。。在所有装置之间都相同。。。。。。。使用此密钥的攻击者可以以该用户身份乐成通过FortiSIEM Supervisor举行身份验证。。。。。。。虽然该用户的shell仅限于运行剧本/opt/phoenix/phscripts/bin/tunnelshell，，，，，，，，SSH认证仍然是乐成的。。。。。。。Fortinet宣布清静通告称，，，，，，，，该误差的编号是 CVE-2019-17659，，，，，，，，它可导致拒绝效劳。。。。。。。

原文链接：

https://securityaffairs.co/wordpress/96649/security/hardcoded-ssh-key-fortinet.html

5、苹果宣布透明度报告，，，，，，，，披露各国政府请求苹果用户数据情形

万利国际官网(中国游)有限公司

1月18日，，，，，，，，苹果周五宣布了半年度透明度报告，，，，，，，，披露了各国政府在全球规模内向其索取用户数据的次数。。。。。。。凭证苹果宣布的报告，，，，，，，，在2019年1月1日至6月30日之间，，，，，，，，各国政府提出了31778次装备请求，，，，，，，，比2018年上半年增添了约500次。。。。。。。这类信息包括哪些用户与哪些装备相关联，，，，，，，，以及购置、客户效劳和维修信息。。。。。。。苹果在其中82%的时间知足了对方的要求。。。。。。。德国提出装备要求再次位居榜首，，，，，，，，抵达13558次，，，，，，，，美国在6个月内提出了4796次装备请求。。。。。。。帐户请求（例如，，，，，，，，有关iCloud和iTunes帐户的详细信息）在6个月内抵达了6480次。。。。。。。苹果在85％的情形下都会提供详细信息。。。。。。。大部分账号请求来自美国，，，，，，，，抵达3619次。。。。。。。

原文链接：

https://www.apple.com/legal/transparency/pdf/requests-2019-H1-en.pdf

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究

信息清静周报-2020年第04周

关于万利国际官网

解决计划

清静研究

联系万利国际官网

7*24小时效劳热线