首页 > 宁静研究 > 宁静通报 > 宁静周报

信息宁静周报-2019年第30周

宣布时间 2019-08-05

> 本周宁静态势综述

2019年7月29日至8月04日共收录宁静漏洞50个，值得关注的是Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP密码更改命令注入漏洞；Puppet Enterprise PE's express install默认密码漏洞；Wind River Systems VxWorks IP选项解析缓冲区溢出漏洞；Polycom UC Software上传文件代码执行漏洞；cPanel SQL注入漏洞。

本周值得关注的网络宁静事件是纽约通过新数据泄露通知法案，数据监管再次升级；Capital One泄露1.06亿用户信息，嫌疑人已被捕；VxWorks修复11个宁静漏洞，影响凌驾20亿台设备；Amcrest家用摄像头严重漏洞，可允许攻击者远程监听用户；智利1430万公民信息泄露，占全国总人口近80%。

凭据以上综述，本周宁静威胁为中。

> 重要宁静漏洞列表

1. Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP密码更改命令注入漏洞

Alcatel-Lucent Enterprise 8008 Cloud Edition Deskphone VoIP 密码更改界面更改密码处置存在宁静漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，可执行任意OS命令。

https://www.sit.fraunhofer.de/fileadmin/dokumente/CVE/Advisory_Alcatel_8008CloudEditionDeskPhone.pdf?_=1559026340

2. Puppet Enterprise PE's express install默认密码漏洞

Puppet Enterprise PE's express install存在默认密码漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，可未授权访问。
https://puppet.com/security/cve/CVE-2019-10694

3. Wind River Systems VxWorks IP选项解析缓冲区溢出漏洞

Wind River Systems VxWorks IP选项处置存在缓冲区溢出漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，可使应用法式崩�；蛑葱腥我獯�。
https://www.us-cert.gov/ics/advisories/icsa-19-211-01

4. Polycom UC Software上传文件代码执行漏洞

Polycom UC Software上传文件存在宁静漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，可执行任意代码。
https://support.polycom.com/content/dam/polycom-support/global/documentation/remote-code-execution-vulnerability-in-ucs-software-v1-0.pdf

5. cPanel SQL注入漏洞

cPanel存在SQL注入漏洞，允许远程攻击者可以利用漏洞提交特殊的SQL请求，操作数据库，可获取敏感信息或执行任意代码。
https://documentation.cpanel.net/display/CL/58+Change+Log

> 重要宁静事件综述

1、纽约通过新数据泄露通知法案，数据监管再次升级

东森·(中国区)官方网站

纽约州州长Andrew M. Cuomo近日签署了一项新的数据泄露通知法案，该法案的名称为“阻止黑客及革新电子数据宁静”，即SHIELD法案，旨在�；づυ脊竦囊绞莶⒓忧扛弥莸氖菪孤墩�。该法案扩大了个人信息的范围，将生物识别信息、电子邮件地址及密码、宁静问题及答案列入其中。该法案还增加了民事处罚，并将通知要求应用于任何拥有纽约公民隐私信息的个人或实体，而不仅仅是在纽约州开展业务的实体。该法案还将提供身份偷窃�；し裥慈胫捶�，要求CRA在发生涉及社会宁静号码的数据泄露后必须向消费者提供合理的�；し�。

原文链接：https://www.bleepingcomputer.com/news/security/new-york-passes-law-to-update-data-breach-notification-requirements/

2、Capital One泄露1.06亿用户信息，嫌疑人已被捕

东森·(中国区)官方网站

Capital One确认其系统于3月22日至23日期间遭未授权访问，导致1.06亿用户的信息泄露，包罗交易数据、信用评分、支付历史、余额以及关联的银行账户和社会宁静号码。受影响的用户包罗1亿美国人和600万加拿大人。凭据相关证据，FBI已经逮捕了嫌疑人Paige Thompson。Capital One体现由于客户通知、免费的信用监控服务、宁静革新成本以及执法用度，这一事件将导致约1亿至1.5亿美元的成本。

原文链接：https://www.bleepingcomputer.com/news/security/capital-one-data-breach-affects-106-million-people-suspect-arrested/

3、VxWorks修复11个宁静漏洞，影响凌驾20亿台设备

东森·(中国区)官方网站

Armis研究人员在VxWorks RTOS中发现11个宁静漏洞，这些漏洞影响了航空航天、国防、工业、医疗、汽车、消费电子等领域的20多亿台设备。这些漏洞被统称为URGENT/11，可允许远程攻击者绕过传统的宁静解决方案并完全控制受影响的设备或类似永恒之蓝一样导致大规模的设备中断，而且无需用户交互。这些漏洞存在于VxWorks 6.5之后的TCP/IP协议栈中，影响了过去13年来宣布的所有VxWorks版本。该公司已经在上个月宣布了修复补丁，但这些补丁通过设备厂商到达消费者可能还需要一定的时间。

原文链接：https://thehackernews.com/2019/07/vxworks-rtos-vulnerability.html

4、Amcrest家用摄像头严重漏洞，可允许攻击者远程监听用户

东森·(中国区)官方网站

宁静厂商Tenable发现Amcrest IP2M-841B家用摄像头存在一个严重漏洞，可允许攻击者通过HTTP远程监听摄像头的音频输入。该漏洞被标志为CVE-2019-3948，影响了摄像头固件版本V2.520.AC00.18.R，而且无需身份验证即可利用。此外，该产物也易受身份验证绕过漏洞（CVE-2017-7927）攻击。Amcrest已经宣布相关修复补丁。

原文链接：https://www.zdnet.com/article/iot-home-security-camera-allows-hackers-to-listen-in-over-http/

5、智利1430万公民信息泄露，占全国总人口近80%

东森·(中国区)官方网站

Wizcase研究团队发现一个Elasticsearch数据库袒露了凌驾1430万智利公民的选举信息，占该国总人口的近80%。这些信息包罗姓名、家庭住址、性别、年龄和纳税号码。智利选举服务Servel的发言人确认了这些数据的真实性，但否认该服务器属于他们。该发言人体现这些信息对应于2017年的数据，可能是第三方从其网站上收集汇总得来。

原文链接：https://www.zdnet.com/article/voter-records-for-80-of-chiles-population-left-exposed-online/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

信息宁静周报-2019年第30周

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线