黑客入侵企业级认证服务器 获取明文密码

简介:

国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞298个,互联网上出现“ZKTecoZKBioSecurity

3.0硬编码证书远程系统命令执行漏洞”零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。

一周信息安全要闻速览

OneLogin遭入侵 黑客获取明文密码

近日,有消息称企业级认证和接入应用OneLogin的一台服务器被入侵,用户数据被窃龋但更糟糕的是,泄露数据的服务器是用于保存用户的存储凭证的,如:admin密码及软件密码。>>详细

2015年二维码支付令中国银行业损失了200亿美元

过去,商业银行把主要精力放在服务大企业上,不太关注消费者。然而,随着宏观经济遭遇麻烦,企业业务的增长空间面临压力。银行无疑希望抓住零售银行业务的机遇,但如果它们没有支付和消费数据,将很难引起消费者的更多关注。>>详细

手机还是手雷?移动安全问题有多严重

在阿联酋,部分销售出的iPhone手机被私自安装了一款恶意软件,而这些软件由于一些政治原因而被私自安装的监控软件。这款软件可以获知用户所有的联系人、聊天记录、短信、电子邮件、日历以及所有的语言对话均可获得。这种软件本身的存在是为了监管的方便,但是一旦这款软件被攻破,那么所有用户都将变成任人宰割的存在。>>详细

大额刷信用卡将变困难!拒刷浮现

如果4S店自行消化刷卡费用、保持车主的消费习惯,额外需要承担的成本不是一笔小数目。以年销2000辆车、销售刷卡覆盖率为70%、平均每辆车的信用卡付款金额为5万元,售后服务年营业额为2000万、售后服务刷卡覆盖率为80%的一家4S店为例测算,每年刷卡手续费超过50万元。>>详细

李东荣:互联网金融最大的问题是不够规范 管理需有三道防线

中国的经济发展、社会发展都需要互联网金融,由于传统金融服务的覆盖面、效率不够,覆盖不到的地方对互联网金融有很大需求。但作为一种新生事物,互联网金融在发展过程中确实存在一些问题,最大的问题是不够规范。>>详细

安全漏洞周报

上周漏洞基本情况

上周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞298个,其中高危漏洞132个、中危漏洞150个、低危漏洞16个。漏洞平均分值为6.41。上周收录的漏洞中,涉及0day漏洞162个(占54%)。其中互联网上出现“ZKTecoZKBioSecurity

3.0硬编码证书远程系统命令执行漏洞”零日代码攻击漏洞,请使用相关产品的用户注意加强防范。此外,上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1107个,与之前一周(1624个)环比下降32%。

上周重要漏洞信息

1、PHP产品安全漏洞

PHP是一种开源的通用计算机脚本语言。上周,该产品被披露存在信息泄露和拒绝服务漏洞,攻击者可利用漏洞泄露敏感信息和发起拒绝服务攻击。

CNVD收录的相关漏洞包括:PHP'ext/sqlite3/sqlite3.c'存在多个拒绝服务漏洞、PHP'zend_virtual_cwd()'函数空指针引用拒绝服务漏洞、PHP'ext/standard/string.c'信息泄露漏洞、PHP'xp_socket.c'拒绝服务漏洞、PHP'pgsql_statement.c'拒绝服务漏洞、PHP'ext/readline/readline.c'拒绝服务漏洞、PHP'gd/libgd/gd_gif_out.c'信息泄露漏洞、PHP'interface.c'拒绝服务漏洞等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

2、Cisco产品安全漏洞

Cisco WebEx Meetings是网络会议解决方案。Cisco SmallBusiness 220 Series Smart Plus

Switches是一款智能交换机。Cisco WirelessLAN

Controller是一款思科无线局域网控制器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行远程代码、获取未授权访问限制或发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:Cisco WirelessLAN Controller拒绝服务漏洞(CNVD-2016-07077)、Cisco

Wireless LANController TSM SNMP拒绝服务漏洞、Cisco WebEx Meetings Player远程代码执行漏洞、Cisco

WebExMeetings Player拒绝服务漏洞、Cisco Small Business 220 Series Smart

PlusSwitches未授权访问漏洞、Cisco Small Business 220 Series Smart

PlusSwitches跨站请求伪造漏洞、Cisco Small Business 220 Series Smart

PlusSwitches跨站脚本漏洞、Cisco Small Business 220 Series Smart Plus

Switches拒绝服务漏洞等。其中,“Cisco WebExMeetings

Player远程代码执行漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

3、Foxit产品安全漏洞

Foxit

Reader是中国福昕(Foxit)软件公司的出品的一款小型的PDF文档查看和打印程序,PhantomPDF是一个商业版。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞远程获取敏感信息,执行任意代码或发起拒绝服务攻击。

CNVD收录的相关漏洞包括:Foxit Reader和PhantomPDF远程命令执行漏洞(CNVD-2016-07030)、Foxit

Readerand Foxit PhantomPDF存在多个拒绝服务漏洞、Foxit Reader and

PhantomPDFDLL加载远程命令执行漏洞、Foxit Reader and Foxit PhantomPDF存在多个远程命令执行漏洞、Foxit

Readerand Foxit PhantomPDF越界读信息泄露漏洞、Foxit Reader and

FoxitPhantomPDF越界读写远程命令执行漏洞、Foxit Reader和PhantomPDF远程命令执行漏洞、Foxit

Reader'ConvertToPDF'插件信息泄露漏洞等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

4、SAP产品安全漏洞

SAP TREX是德国思爱普(SAP)公司的一款用于SAP NetWeaver集成技术平台中的搜索引擎。SAP UtilityCustomer

E-Services是一个基于j2ee的Web应用程序。SAP HANA是一套高性能的实时数据分析平台。SAP

SolutionManager是一套集系统监控、SAP支持桌面、自助服务、ASAP实施等多个功能为一体的系统管理平台。SAP

NetWeaver是一套面向服务的集成化应用平台,SAP NetWeaverAS

Java是一款运行于NetWeaver中且基于Java编程语言的应用服务器。SAP AdaptiveServer Enterprise(Sybase

ASE)是一套关系型数据库管理系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、远程执行命令或发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:SAP TREX信息泄露漏洞、SAP TREX远程命令执行漏洞、SAP UtilityCustomer

E-Services点击劫持漏洞、SAP HANA Enterprise安全绕过漏洞、SAP SolutionManager远程命令注入漏洞、SAP

NetWeaver SAPSTARTSRV远程缓冲区溢出漏洞、SAP NetWeaverAS JAVA拒绝服务漏洞、SAP Adaptive Server

Enterprise拒绝服务漏洞。其中,“SAP TREX远程命令执行漏洞、SAP

SolutionManager远程命令注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

5、ZKTeco ZKBioSecurity 3.0硬编码证书远程系统命令执行漏洞

ZKBioSecurity是一个生物识别安防综合管理平台。上周,ZKBioSecurity被披露存在远程系统命令执行漏洞。攻击者可利用JSP应用程序恶意WAR归档文件上传,导致攻击者以系统权限执行任意代码的能力。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。在此提醒广大用户随时关注厂商主页,以获取最新版本。

专家点评和建议

中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结:上周,PHP产品被披露存在信息泄露和拒绝服务漏洞,攻击者可利用漏洞泄露敏感信息和发起拒绝服务攻击。此外,Cisco、Foxit、SAP等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞远程执行任意代码、泄露敏感信息或发起拒绝服务攻击等。另外,ZKBioSecurity被披露存在远程系统命令执行漏洞。攻击者可利用JSP应用程序恶意WAR归档文件上传,导致攻击者以系统权限执行任意代码的能力。建议相关用户随时关注上述厂商主页,及时获取修复补厄解决方案。

本文转自d1net(转载)

相关文章
|
4月前
|
存储 弹性计算 人工智能
弹性计算第九代企业级ECS实例新品发布
阿里云第九代企业级实例基于全新CIPU 2.0架构,搭载最新英特尔和AMD处理器,大幅提升性能、安全性和稳定性。G9i实例采用英特尔新一代处理器,内存带宽和L3缓存显著提升,标配AMX加速器;G9A实例则搭载AMD先进处理器,提供更高的性价比和端到端加密能力。九代产品在算力、IO能力和安全性上全面升级,尤其适用于搜推、大数据处理等场景,助力客户实现更高业务价值。
|
1月前
|
存储 弹性计算 人工智能
阿里云服务器第九代企业级g9i实例技术特点、性能优势、适用场景简介
阿里云不断推出创新产品和技术,以满足市场对高性能、高可靠、高性价比云计算资源的需求。近日,阿里云正式面向全球发布了第九代企业级实例ECS g9i,并开启了邀测活动。本文将深入解析阿里云ECS g9i实例的技术特点、性能优势、适用场景以及购买建议,帮助用户更好地了解并选择合适的云服务器实例。
|
2月前
|
弹性计算 云计算
阿里云认证全新发布【Apsara Clouder云计算专项技能认证:云服务器ECS入门】
阿里云认证全新发布【Apsara Clouder云计算专项技能认证:云服务器ECS入门】
|
2月前
|
云安全 边缘计算 监控
R9-9950X服务器 超越频率桎梏,企业级稳定性的新标杆!
德迅云安全推出的R9 9950X服务器专为多线程、高负载场景优化,基于AMD Ryzen 9系列的Zen 4架构,采用5nm工艺和CCD/CIOD分离设计,具备16核32线程全大核策略,确保高效能与低功耗。其自适应功耗管理和强化供电设计,保障了在企业级应用中的卓越稳定性和持续性能。搭配德迅卫士主机安全软件,提供实时监控、远程防护及资产清点等全面安全措施,适用于云计算、虚拟化和边缘计算等场景,为企业带来可靠的高性能解决方案。
|
2月前
|
机器学习/深度学习 人工智能 弹性计算
阿里云服务器入门级、企业级、异构云服务器、弹性裸金属服务器区别参考
在我们选购阿里云服务器时,面对多样化的云服务器架构,如X86计算、ARM计算、GPU/FPGA/ASIC、弹性裸金属服务器以及超级计算集群等,我们需要根据实际需求选择合适的服务器类型。阿里云提供了入门级企业级云服务器、异构云服务器和弹性裸金属服务器等多种产品类型,以满足不同场景下的业务需求。本文将简要介绍这些不同类型的云服务器及其主要适用场景。
|
2月前
|
存储 弹性计算 安全
阿里云服务器购买后设置密码、安全组、基础安全服务、挂载云盘等流程简介
对于初次选购阿里云服务器的用户来说,通过阿里云推出的各类活动买到心仪的云服务器仅仅是第一步。为了确保云服务器能够正常运行并承载您的应用,购买之后还需要给云服务器设置远程登录密码、设置安全组规则、设置基础安全、购买并挂载云盘等操作之后,我们才能使用并部署自己的应用到云服务器上。本文将详细介绍在阿里云的活动中购买云服务器后,您必须完成的几个关键步骤,助您快速上手并充分利用云服务器的强大功能。
|
2月前
|
存储 弹性计算 人工智能
算力性能提升20%!阿里云第九代ECS g9i企业级实例全球邀测
算力性能提升20%!阿里云第九代ECS g9i企业级实例全球邀测
117 0
|
6月前
|
存储 数据库 虚拟化
无缝过渡:企业级服务器迁移的策略与最佳实践
【10月更文挑战第4天】随着企业数字化转型的加速,服务器迁移成为企业IT基础设施升级的重要环节。本文从架构与规划的视角,探讨了企业级服务器迁移的策略与最佳实践,旨在帮助企业实现无缝过渡,降低迁移风险,提高迁移效率。
658 4
|
6月前
|
Linux Shell 数据安全/隐私保护
Linux如何在服务器上进行密码的修改?
【10月更文挑战第6天】Linux如何在服务器上进行密码的修改?
926 1
|
7月前
|
存储 弹性计算 SDN
企业级 ECS 集群的构建需要综合考虑多个因素,通过不断的比较和对比不同的方案,选择最适合企业自身需求和发展的架构。
【9月更文挑战第5天】在数字化商业环境中,构建企业级ECS(弹性计算服务)集群对提升业务稳定性、扩展性和性能至关重要。本文将比较传统物理服务器与ECS架构,分析云服务商选择(如AWS和阿里云)、实例配置(CPU/内存)、网络架构(SDN vs 传统)及存储方案(本地存储 vs 云存储),帮助企业根据自身需求选出最优方案,实现高效稳定的ECS集群部署。
140 18

热门文章

最新文章