国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞443个,互联网上出现“Invoxia NVX220信任管理问题漏洞、Private Internet Access (PIA) VPN客户端任意代码执行漏洞(CNVD-2019-24214)”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。
一周行业要闻速览
你可能不知道SDK是啥,但你手机里的秘密它可知道……
由第三方SDK引入的安全问题也是显而易见的。比如开发者的安全能力水平参差不齐,可能导致SDK的安全漏洞;还有开发者会故意预留“后门”,以便收集用户信息或执行越权操作。>>详细
中国银行郭为民:真正的安全 不能有短板
在过去一年,中国银行通过与腾讯的合作,结合大数据、人工智能、云计算、云网端安全防护体系,累计监测超过30亿笔交易,其中阻断了超过100亿的交易金额。>>详细
CSS 2019:腾讯安全发布2019产业互联网安全十大议题
作为CSS 2019会议的延续,腾讯安全发布的《十大议题》首次聚焦产业互联网安全,从产业政策、技术应用、业务场景等方面,对产业互联网时代的安全变化和技术趋势进行了盘点和解读。>>详细
美第一资本金融公司1亿用户个人信息被盗 女黑客被捕
一名黑客盗取了包括姓名、地址、电话号码和信用分数在内的个人信息,影响到美国约1亿客户和加拿大600万客户,目前这名黑客已被逮捕。>>详细
苹果回应Siri窃听和审听:使用了1%的用户录音
Siri语音助手很容易被激活,有时还能监听到私人对话,比如人们与医生交谈、毒品交易和性接触谈话内容。>>详细
网页端 Outlook 365 发送的邮件会泄露用户的 IP 地址
任何使用Office 365 WebMail组件发送的邮件都可能无意中向对方共享了自己的IP地址。网页端Outlook 365会在邮件的标题中插入发送者的IP地址。>>详细
技术观澜
浅析TEEOS该以什么样的姿态去开放
由于Android生态链条十分长,从Android版本发布到消费者手里,要经过许多环节,这直接导致了许多混乱,生态各方与Android系统无法解耦,升级更新困难,安全问题层出不穷。>>详细
程序员除了会 CRUD 之外,还应该知道什么叫 CQRS!
我们经常用到的解决方案就是对数据库进行读写分离。让主数据库处理事务性的增、删、改操作,让从数据库处理查询操作,然后主从数据库之间进行同步。>>详细
安全威胁播报
上周漏洞基本情况
上周(2019年7月22日-28日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞443个,其中高危漏洞198个、中危漏洞181个、低危漏洞64个。漏洞平均分值为6.50。上周收录的漏洞中,涉及0day漏洞107个(占24%),其中互联网上出现“Invoxia NVX220信任管理问题漏洞、Private Internet Access (PIA) VPN客户端任意代码执行漏洞(CNVD-2019-24214)”等零日代码攻击漏洞。
上周重要漏洞安全告警
HP产品安全漏洞
HPE Intelligent Management Center(IMC)是一个从底层构建的综合管理平台,支持故障、配置、记账、性能及安全(FCAPS)模型。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全机制执行未授权操作,导致缓冲区溢出,执行远程代码,造成拒绝服务。
CNVD收录的相关漏洞包括:HPE Intelligent ManagementCenter (IMC)拒绝服务漏洞、HPE Intelligent ManagementCenter (IMC) UrlAccessController认证绕过漏洞、HPE Intelligent Management Center (IMC)远程代码执行漏洞(CNVD-2019-23771、CNVD-2019-23769、CNVD-2019-23770、CNVD-2019-23772、CNVD-2019-23773)、HPE Intelligent ManagementCenter (IMC)栈缓冲区溢出漏洞(CNVD-2019-24023)。其中,除“HPE Intelligent Management Center (IMC)远程代码执行漏洞(CNVD-2019-23769)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
CloudBees产品安全漏洞
CloudBees Jenkins是一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,造成拒绝服务(无限循环)等。
CNVD收录的相关漏洞包括:CloudBees Jenkins SSHCredentials Plugin任意文件读取漏洞、CloudBees Jenkins SAMLPluginHTTP会话固定漏洞 、CloudBeesjenkins-email-ext Email Extension插件信息泄露漏洞、CloudBees Jenkins拒绝服务漏洞(CNVD-2019-23809)、CloudBees Jenkins Cloud Foundry Plugin信息泄露漏洞、CloudBees Jenkins JMS Messaging Plugin服务器请求伪造漏洞、CloudBees Jenkins Script Security Plugin沙盒绕过漏洞、CloudBees Jenkins信息泄露漏洞(CNVD-2019-24407)。目前,厂商已经发布了上述漏洞的修补程序。
Google产品安全漏洞
Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:Google Android Mediaframework远程代码执行漏洞(CNVD-2019-23555、CNVD-2019-23556)、Google Android System组件远程代码执行漏洞、Google Android Framework组件远程代码执行漏洞(CNVD-2019-23561、CNVD-2019-23562、CNVD-2019-23563)、Google Android远程代码执行漏洞(CNVD-2019-24161、CNVD-2019-24164)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Moxa产品安全漏洞
Moxa OnCell G3100-HSPA是一款G3100-HSPA系列蜂窝网络网关设备。Moxa OnCell G3470A-LTE是一款G3470A-LTE系列蜂窝网络网关设备。Moxa AWK-3121是一款工业级无线访问接入点。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,破坏内存等。
CNVD收录的相关漏洞包括:Moxa OnCell G3100-HSPA安全绕过漏洞、Moxa OnCell G3100-HSPA内存破坏漏洞(CNVD-2019-23543、CNVD-2019-23545)、Moxa OnCell G3470A-LTE内存破坏漏洞(CNVD-2019-23546、CNVD-2019-23547)、Moxa OnCell G3100-HSPA安全特征问题漏洞、Moxa AWK-3121信息泄露漏洞、Moxa AWK-3121加密问题漏洞。其中,除“Moxa OnCell G3100-HSPA安全特征问题漏洞、Moxa AWK-3121信息泄露漏洞、Moxa AWK-3121加密问题漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Sony BRAVIA Smart TVs拒绝服务漏洞
Sony BRAVIA Smart TVs是日本索尼(Sony)公司的一款智能电视。Sony BRAVIA Smart TVs被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成电视卡屏,无法响应,程序崩溃并且导致电视重启。
小结
上周,HP被披露存在多个漏洞,攻击者可利用漏洞绕过安全机制执行未授权操作,导致缓冲区溢出,执行远程代码,造成拒绝服务。此外,CloudBees、Google、Moxa等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码,造成拒绝服务(无限循环)等。Sony BRAVIA Smart TVs被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成电视卡屏,无法响应,程序崩溃并且导致电视重启。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、新浪财经、腾讯科技、隐私护卫队、CSDN、cnBeta、安智客报道
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。