首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2019年第5周

宣布时间 2019-03-04

本周清静态势综述

2019年1月28日至2月03日共收录清静误差42个，，，，，值得关注的是Apache Hadoop CVE-2018-1296清静绕过误差；；；；D-Link DIR-823G HNAP1请求下令注入误差；；；；ACD Systems Canvas Draw CVE-2018-3976缓冲区溢出误差；；；；ARM Trusted Firmware-A信息泄露误差；；；；Google Chrome PDFium CVE-2019-5772释放后使用代码执行误差。。。。

本周值得关注的网络清静事务是数据治理公司Rubrik意外泄露大宗客户数据；；；；FaceTime曝重大窃听误差，，，，，Apple体现将在本周修复；；；；欧洲网络信息清静局ENISA宣布2018年网络威胁景观报告；；；；印度国家银行SBI意外泄露数百万客户信息；；；；荷兰DPA宣布2018年数据泄露统计报告。。。。

凭证以上综述，，，，，本周清静威胁为中。。。。

主要清静误差列表

1. Apache Hadoop CVE-2018-1296清静绕过误差
Apache Hadoop保存清静误差，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，绕过清静限制，，，，，执行未授权的操作。。。。
https://hadoop.apache.org/cve_list.html#cve-2018-8009-http-cve-mitre-org-cgi-bin-cvename-cgi-name-cve-2018-8009-zip-slip-impact-on-apache-hadoop

2. D-Link DIR-823G HNAP1请求下令注入误差
D-Link DIR-823G保存代码注入误差，，，，，允许远程攻击者可以使用误差提交特殊的HNAP1请求，，，，，可以应用程序上下文执行OS下令。。。。
https://github.com/leonW7/D-Link/blob/master/Vul_1.md

3. ACD Systems Canvas Draw CVE-2018-3976缓冲区溢出误差
ACD Systems Canvas Draw CALS Raster文件剖析功效保存越界写入误差，，，，，允许远程攻击者使用误差提交特殊的文件请求，，，，，诱使用户剖析，，，，，可使应用程序瓦解�；；；蛑葱许б獯�。。。。
https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0642

4. ARM Trusted Firmware-A信息泄露误差
ARM Trusted Firmware-A保存清静误差，，，，，允许外地攻击者使用误差提交特殊的请求，，，，，可获取敏感信息。。。。
https://github.com/ARM-software/arm-trusted-firmware/wiki/Trusted-Firmware-A-Security-Advisory-TFV-8

5. Google Chrome PDFium CVE-2019-5772释放后使用代码执行误差
Google Chrome PDFium保存释放后使用误差，，，，，允许远程攻击者使用误差提交特殊的WEB页请求，，，，，诱使用户剖析，，，，，可获取敏感信息。。。。
https://chromereleases.googleblog.com/2019/01/stable-channel-update-for-desktop.html

主要清静事务综述

1、数据治理公司Rubrik意外泄露大宗客户数据

清静研究员Oliver Hough发明属于数据治理公司Rubrik的一个Elasticsearch效劳器未受密码保�；；；�，，，，，该数据库存储了数十GB的数据，，，，，包括企业客户的名称、联系信息和事情案例。。。。凭证时间戳，，，，，这些数据可追溯至2018年10月。。。。经由视察，，，，，Rubrik称这一事务是由人为过失导致的。。。。

原文链接：
https://techcrunch.com/2019/01/29/rubrik-data-leak/

2、FaceTime曝重大窃听误差，，，，，Apple体现将在本周修复

Z6·尊龙凯时「中国区」官方网站

据外媒报道，，，，，Apple FaceTime保存重大清静误差，，，，，可允许攻击者在目的接听或拒绝FaceTime通话之前监听对方的声音。。。。若是对方按下音量降低按钮或电源按钮来静音或作废通话，，，，，则其前置摄像头也会翻开，，，，，并将视频信号发送给攻击者。。。。据悉，，，，，该误差会泛起在iOS 12.1或更高版本的iOS装备中。。。。Apple已经暂时禁用了FaceTime中的群组通话功效，，，，，并体现将在本周晚些时间宣布修复补丁。。。。

原文链接：
https://thehackernews.com/2019/01/apple-facetime-privacy-hack.html

3、欧洲网络信息清静局ENISA宣布2018年网络威胁景观报告

Z6·尊龙凯时「中国区」官方网站

欧洲网络信息清静局（ENISA）宣布2018年威胁景观报告，，，，，该报告重点先容了2018年的网络威胁趋势转变，，，，，包括电子邮件和垂纶短信已经成为主要的恶意软件熏染前言；；；；恶意矿工成为犯法分子的主要赚钱手段；；；；国家资助的犯法团伙越来越多地瞄准银行；；；；由于缺氨赏端物联网装备和效劳的保�；；；せ�，，，，，对通用物联网保�；；；ぜ芄�/优异实践的需求仍然是一个紧迫的问题；；；；威胁情报需要使用新的自动化工具和要领来应对自动化的攻击；；；；清静领域应该重点关注人才和手艺的培训。。。。该报告还从政策、企业以及手艺、研究和教育方面提出了建议。。。。

原文链接：
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018/

4、印度国家银行SBI意外泄露数百万客户信息

Z6·尊龙凯时「中国区」官方网站

匿名清静研究职员发明一台用于银行加速效劳的效劳器，，，，，这是一种基于移动的信息效劳。。。。该数据库在没有保�；；；さ那樾蜗卤还�，，，，，该数据库包括数百万条短信，，，，，可追溯到12月份，，，，，包括客户的电话号码，，，，，部分银行账号，，，，，银行余额和生意纪录。。。。好新闻是，，，，，印度国家银行在得知问题后数小时内迅速解决了这个问题，，，，，遗憾的是，，，，，不知道数据在网上袒露了多长时间。。。。这些信息的可用性给银行客户带来了严重的危害，，，，，威胁行为者可以使用它来瞄准银行客户。。。。

原文链接：
https://securityaffairs.co/wordpress/80555/data-breach/state-bank-of-india-leak.html

5、荷兰DPA宣布2018年数据泄露统计报告

Z6·尊龙凯时「中国区」官方网站

2019年1月29日，，，，，荷兰数据保�；；；ぞ郑ˋutoriteit Persoonsgegevens，，，，，“荷兰DPA”）揭晓了一份报告关于2018年收到的小我私家数据泄露通知（“报告”）。。。。欧盟通用数据保�；；；す嬖颍ā癎DPR”）要求数据治理员在知悉后的72小时内将数据泄露通知主管数据保�；；；ぞ郑ā癉PA”）。。。。在荷兰，，，，，自2016年1月1日起，，，，，该违规通知要求已经实验。。。。可是，，，，，GDPR划定了特另外要求，，，，，包括：在违规通知中提供某些信息; 若是违规行为可能对这些人的权力和自由造成高危害，，，，，数据治理员有义务通知受影响的小我私家; 公司有义务纪录任何小我私家数据泄露事务。。。。2018年，，，，，荷兰DPA收到的数据泄露通知数目增添了一倍，，，，，共计20,881次违规通知。。。。受影响最大的部分是康健和福利部分（转达的违规行为的29％），，，，，金融部分（通知的违规行为的26％）和公共部分（17％的违规通知）。。。。

原文链接：
https://www.databreaches.net/dutch-dpa-publishes-2018-report-on-data-breach-statistics/

声明：本资讯由Z6尊龙凯时维他命清静小组翻译和整理

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Z6尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系Z6尊龙凯时

清静研究

信息清静周报-2019年第5周

关于Z6尊龙凯时

解决计划

清静研究

联系Z6尊龙凯时

7*24小时效劳热线