信息宁静周报-2020年第38周-东森平台

首页 > 宁静研究 > 宁静通报 > 宁静周报

信息宁静周报-2020年第38周

宣布时间 2020-09-21

> 本周宁静态势综述

2020年09月14日至09月20日共收录宁静漏洞57个，值得关注的是Adobe Media Encoder CVE-2020-9745越界读信息泄露漏洞；Gallagher Group Command Centre客户端挂起漏洞；Hyland OnBase CVE-2020-25248目录遍历漏洞；IPTV/H.264/H.265视频编码器后门密码管理员访问漏洞；Google Android Framework CVE-2020-0275权限提升漏洞。

本周值得关注的网络宁静事件是Razer数据库袒露导致其约10万用户信息泄露；Redgate宣布2020年度数据库状态监测陈诉；英国国家网络宁静中心（NCSC）宣布漏洞披露指南；卡巴斯基宣布2020年工业网络宁静视察研究陈诉；德国购物网站windeln.de数据库袒露，泄露60亿条记录。

凭据以上综述，本周宁静威胁为中。

> 重要宁静漏洞列表

1.Adobe Media Encoder CVE-2020-9745越界读信息泄露漏洞

Adobe Media Encoder存在越界读宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，可获取敏感信息。

https://helpx.adobe.com/security/products/media-encoder/apsb20-57.html

2. Gallagher Group Command Centre客户端挂起漏洞

Gallagher Group Command Centre创建Guard Tour事件存在宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，可使客户端暂时挂起或断开连接。

https://security.gallagher.com/Security-Advisories/CVE-2020-16099

3.Hyland OnBase CVE-2020-25248目录遍历漏洞

Hyland OnBase存在路径遍历漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，以应用法式上下文读取系统文件或写入系统到文件。

https://seclists.org/fulldisclosure/2020/Sep/21

4. IPTV/H.264/H.265视频编码器后门密码管理员访问漏洞

IPTV/H.264/H.265视频编码器存在后门密码漏洞，允许远程攻击者利用漏洞提交特殊的请求，可未授权完全控制应用。

https://www.kb.cert.org/vuls/id/896979

5. Google Android Framework CVE-2020-0275权限提升漏洞

Google Android Framework存在宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，可以应用法式上下文执行任意代码。

https://source.android.com/security/bulletin/android-11

> 重要宁静事件综述

1、Razer数据库袒露导致其约10万用户信息泄露

8月19日，研究员Bob Diachenko发现游戏硬件制造商Razer的在线商店的数据库袒露，导致其约10万用户信息泄露。此次泄露的信息包罗客户的姓名、电子邮件地址、电话号码、订单号、订单明细以及帐单和送货地址等。Razer于在9月9日修复了该数据库服务器，并体现该事件中并没有其他敏感数据泄露，例如信用卡号或密码等信息。

原文链接：

https://www.bleepingcomputer.com/news/security/razer-data-leak-exposes-personal-information-of-gamers/

2、Redgate宣布2020年度数据库状态监测陈诉

Redgate最新宣布了2020年度数据库状态监测陈诉。陈诉显示，无论是在接纳数据库DevOps方面，还是在使用监控来跟踪数据库性能和部署方面，金融服务行业的体现都优于其他行业。其中，61%的金融服务行业员工每周更新至少一次数据库，而其他行业只有43%的员工会这样做。金融服务的服务器数量也更多，36%的服务器拥有50到500个实例，而其他部门只有26%。

原文链接：

https://www.helpnetsecurity.com/2020/09/14/database-monitoring-improves-devops-success/

3、英国国家网络宁静中心（NCSC）宣布漏洞披露指南

英国国家网络宁静中心（NCSC）宣布了漏洞披露指南，以资助公司实施漏洞披露流程或在已经建立漏洞披露流程的情况下对其进行革新。NCSC体现，该指南并不是一个漏洞披露的规则手册，而是为更好的实施提供了须要的信息。其主要分为三个主要部门，描述了如何将外部漏洞信息定向给合适的人，以及陈诉需遵循关闭漏洞的框架尺度。

原文链接：

https://www.bleepingcomputer.com/news/security/uk-government-releases-toolkit-to-easily-disclose-vulnerabilities/

4、卡巴斯基宣布2020年工业网络宁静视察研究陈诉

卡巴斯基对疫情期间的工业网络宁静状况进行了研究，并宣布了2020年工业网络宁静视察研究陈诉。陈诉显示，凌驾一半(53%)的受访者认可，COVID-19导致更多员工在家办公，这已成为对信息宁静服务的一种压力测试。由于外部连接数量众多，现在绝大多数公司都在对OT网络的宁静级别进行定期评估。许多组织不得不重新考虑他们内网的�；ひ�，只有7%的受访者体现，他们的网络宁静战略在COVID-19期间相当有效。

原文链接：

https://www.kaspersky.com/blog/industrial-cybersecurity-2020/37031/

5、德国购物网站windeln.de数据库袒露，泄露60亿条记录

Safety Detectives的研究人员在网络上发现了一个袒露的数据库，经视察该数据库属于德国在线购物网站windeln.de。其袒露了6.4TB的数据，其中包罗60亿条记录，泄露了凌驾700000名客户的个人信息。此次事件的泄露信息包罗个人身份信息（PII）和其他数据，例如发票、全名、IP地址、内部日志、电话号码、电子邮件地址、家庭地址、散列密码、付款方式和用户的孩子个人信息等。

原文链接：

https://www.hackread.com/shopping-site-leaks-miners-data-database-mess-up/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究