首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2019年第5周

宣布时间 2019-03-04

本周清静态势综述

2019年1月28日至2月03日共收录清静误差42个，，，，，，值得关注的是Apache Hadoop CVE-2018-1296清静绕过误差；；；；；D-Link DIR-823G HNAP1请求下令注入误差；；；；；ACD Systems Canvas Draw CVE-2018-3976缓冲区溢出误差；；；；；ARM Trusted Firmware-A信息泄露误差；；；；；Google Chrome PDFium CVE-2019-5772释放后使用代码执行误差。。。。。。。

本周值得关注的网络清静事务是数据治理公司Rubrik意外泄露大宗客户数据；；；；；FaceTime曝重大窃听误差，，，，，，Apple体现将在本周修复；；；；；欧洲网络信息清静局ENISA宣布2018年网络威胁景观报告；；；；；印度国家银行SBI意外泄露数百万客户信息；；；；；荷兰DPA宣布2018年数据泄露统计报告。。。。。。。

凭证以上综述，，，，，，本周清静威胁为中。。。。。。。

主要清静误差列表

1. Apache Hadoop CVE-2018-1296清静绕过误差
Apache Hadoop保存清静误差，，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，，绕过清静限制，，，，，，执行未授权的操作。。。。。。。
https://hadoop.apache.org/cve_list.html#cve-2018-8009-http-cve-mitre-org-cgi-bin-cvename-cgi-name-cve-2018-8009-zip-slip-impact-on-apache-hadoop

2. D-Link DIR-823G HNAP1请求下令注入误差
D-Link DIR-823G保存代码注入误差，，，，，，允许远程攻击者可以使用误差提交特殊的HNAP1请求，，，，，，可以应用程序上下文执行OS下令。。。。。。。
https://github.com/leonW7/D-Link/blob/master/Vul_1.md

3. ACD Systems Canvas Draw CVE-2018-3976缓冲区溢出误差
ACD Systems Canvas Draw CALS Raster文件剖析功效保存越界写入误差，，，，，，允许远程攻击者使用误差提交特殊的文件请求，，，，，，诱使用户剖析，，，，，，可使应用程序崩�；；；；；蛑葱许б獯�。。。。。。。
https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0642

4. ARM Trusted Firmware-A信息泄露误差
ARM Trusted Firmware-A保存清静误差，，，，，，允许外地攻击者使用误差提交特殊的请求，，，，，，可获取敏感信息。。。。。。。
https://github.com/ARM-software/arm-trusted-firmware/wiki/Trusted-Firmware-A-Security-Advisory-TFV-8

5. Google Chrome PDFium CVE-2019-5772释放后使用代码执行误差
Google Chrome PDFium保存释放后使用误差，，，，，，允许远程攻击者使用误差提交特殊的WEB页请求，，，，，，诱使用户剖析，，，，，，可获取敏感信息。。。。。。。
https://chromereleases.googleblog.com/2019/01/stable-channel-update-for-desktop.html

主要清静事务综述

1、数据治理公司Rubrik意外泄露大宗客户数据

清静研究员Oliver Hough发明属于数据治理公司Rubrik的一个Elasticsearch效劳器未受密码�；；；；；�，，，，，，该数据库存储了数十GB的数据，，，，，，包括企业客户的名称、联系信息和事情案例。。。。。。。凭证时间戳，，，，，，这些数据可追溯至2018年10月。。。。。。。经由视察，，，，，，Rubrik称这一事务是由人为过失导致的。。。。。。。

原文链接：
https://techcrunch.com/2019/01/29/rubrik-data-leak/

2、FaceTime曝重大窃听误差，，，，，，Apple体现将在本周修复

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

据外媒报道，，，，，，Apple FaceTime保存重大清静误差，，，，，，可允许攻击者在目的接听或拒绝FaceTime通话之前监听对方的声音。。。。。。。若是对方按下音量降低按钮或电源按钮来静音或作废通话，，，，，，则其前置摄像头也会翻开，，，，，，并将视频信号发送给攻击者。。。。。。。据悉，，，，，，该误差会泛起在iOS 12.1或更高版本的iOS装备中。。。。。。。Apple已经暂时禁用了FaceTime中的群组通话功效，，，，，，并体现将在本周晚些时间宣布修复补丁。。。。。。。

原文链接：
https://thehackernews.com/2019/01/apple-facetime-privacy-hack.html

3、欧洲网络信息清静局ENISA宣布2018年网络威胁景观报告

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

欧洲网络信息清静局（ENISA）宣布2018年威胁景观报告，，，，，，该报告重点先容了2018年的网络威胁趋势转变，，，，，，包括电子邮件和垂纶短信已经成为主要的恶意软件熏染前言；；；；；恶意矿工成为犯法分子的主要赚钱手段；；；；；国家资助的犯法团伙越来越多地瞄准银行；；；；；由于缺氨赏端物联网装备和效劳的�；；；；；せ�，，，，，，对通用物联网�；；；；；ぜ芄�/优异实践的需求仍然是一个紧迫的问题；；；；；威胁情报需要使用新的自动化工具和要领来应对自动化的攻击；；；；；清静领域应该重点关注人才和手艺的培训。。。。。。。该报告还从政策、企业以及手艺、研究和教育方面提出了建议。。。。。。。

原文链接：
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018/

4、印度国家银行SBI意外泄露数百万客户信息

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

匿名清静研究职员发明一台用于银行加速效劳的效劳器，，，，，，这是一种基于移动的信息效劳。。。。。。。该数据库在没有�；；；；；さ那樾蜗卤还�，，，，，，该数据库包括数百万条短信，，，，，，可追溯到12月份，，，，，，包括客户的电话号码，，，，，，部分银行账号，，，，，，银行余额和生意纪录。。。。。。。好新闻是，，，，，，印度国家银行在得知问题后数小时内迅速解决了这个问题，，，，，，遗憾的是，，，，，，不知道数据在网上袒露了多长时间。。。。。。。这些信息的可用性给银行客户带来了严重的危害，，，，，，威胁行为者可以使用它来瞄准银行客户。。。。。。。

原文链接：
https://securityaffairs.co/wordpress/80555/data-breach/state-bank-of-india-leak.html

5、荷兰DPA宣布2018年数据泄露统计报告

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2019年1月29日，，，，，，荷兰数据�；；；；；ぞ郑ˋutoriteit Persoonsgegevens，，，，，，“荷兰DPA”）揭晓了一份报告关于2018年收到的小我私家数据泄露通知（“报告”）。。。。。。。欧盟通用数据�；；；；；す嬖颍ā癎DPR”）要求数据治理员在知悉后的72小时内将数据泄露通知主管数据�；；；；；ぞ郑ā癉PA”）。。。。。。。在荷兰，，，，，，自2016年1月1日起，，，，，，该违规通知要求已经实验。。。。。。。可是，，，，，，GDPR划定了特另外要求，，，，，，包括：在违规通知中提供某些信息; 若是违规行为可能对这些人的权力和自由造成高危害，，，，，，数据治理员有义务通知受影响的小我私家; 公司有义务纪录任何小我私家数据泄露事务。。。。。。。2018年，，，，，，荷兰DPA收到的数据泄露通知数目增添了一倍，，，，，，共计20,881次违规通知。。。。。。。受影响最大的部分是康健和福利部分（转达的违规行为的29％），，，，，，金融部分（通知的违规行为的26％）和公共部分（17％的违规通知）。。。。。。。

原文链接：
https://www.databreaches.net/dutch-dpa-publishes-2018-report-on-data-breach-statistics/

声明：本资讯由鉴黑担保网维他命清静小组翻译和整理

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

信息清静周报-2019年第5周

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线