开发者社区> 晚来风急> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

黑客入侵企业级认证服务器 获取明文密码

简介:
+关注继续查看

国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞298个,互联网上出现“ZKTecoZKBioSecurity

3.0硬编码证书远程系统命令执行漏洞”零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。

一周信息安全要闻速览

OneLogin遭入侵 黑客获取明文密码

近日,有消息称企业级认证和接入应用OneLogin的一台服务器被入侵,用户数据被窃龋但更糟糕的是,泄露数据的服务器是用于保存用户的存储凭证的,如:admin密码及软件密码。>>详细

2015年二维码支付令中国银行业损失了200亿美元

过去,商业银行把主要精力放在服务大企业上,不太关注消费者。然而,随着宏观经济遭遇麻烦,企业业务的增长空间面临压力。银行无疑希望抓住零售银行业务的机遇,但如果它们没有支付和消费数据,将很难引起消费者的更多关注。>>详细

手机还是手雷?移动安全问题有多严重

在阿联酋,部分销售出的iPhone手机被私自安装了一款恶意软件,而这些软件由于一些政治原因而被私自安装的监控软件。这款软件可以获知用户所有的联系人、聊天记录、短信、电子邮件、日历以及所有的语言对话均可获得。这种软件本身的存在是为了监管的方便,但是一旦这款软件被攻破,那么所有用户都将变成任人宰割的存在。>>详细

大额刷信用卡将变困难!拒刷浮现

如果4S店自行消化刷卡费用、保持车主的消费习惯,额外需要承担的成本不是一笔小数目。以年销2000辆车、销售刷卡覆盖率为70%、平均每辆车的信用卡付款金额为5万元,售后服务年营业额为2000万、售后服务刷卡覆盖率为80%的一家4S店为例测算,每年刷卡手续费超过50万元。>>详细

李东荣:互联网金融最大的问题是不够规范 管理需有三道防线

中国的经济发展、社会发展都需要互联网金融,由于传统金融服务的覆盖面、效率不够,覆盖不到的地方对互联网金融有很大需求。但作为一种新生事物,互联网金融在发展过程中确实存在一些问题,最大的问题是不够规范。>>详细

安全漏洞周报

上周漏洞基本情况

上周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞298个,其中高危漏洞132个、中危漏洞150个、低危漏洞16个。漏洞平均分值为6.41。上周收录的漏洞中,涉及0day漏洞162个(占54%)。其中互联网上出现“ZKTecoZKBioSecurity

3.0硬编码证书远程系统命令执行漏洞”零日代码攻击漏洞,请使用相关产品的用户注意加强防范。此外,上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1107个,与之前一周(1624个)环比下降32%。

上周重要漏洞信息

1、PHP产品安全漏洞

PHP是一种开源的通用计算机脚本语言。上周,该产品被披露存在信息泄露和拒绝服务漏洞,攻击者可利用漏洞泄露敏感信息和发起拒绝服务攻击。

CNVD收录的相关漏洞包括:PHP'ext/sqlite3/sqlite3.c'存在多个拒绝服务漏洞、PHP'zend_virtual_cwd()'函数空指针引用拒绝服务漏洞、PHP'ext/standard/string.c'信息泄露漏洞、PHP'xp_socket.c'拒绝服务漏洞、PHP'pgsql_statement.c'拒绝服务漏洞、PHP'ext/readline/readline.c'拒绝服务漏洞、PHP'gd/libgd/gd_gif_out.c'信息泄露漏洞、PHP'interface.c'拒绝服务漏洞等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

2、Cisco产品安全漏洞

Cisco WebEx Meetings是网络会议解决方案。Cisco SmallBusiness 220 Series Smart Plus

Switches是一款智能交换机。Cisco WirelessLAN

Controller是一款思科无线局域网控制器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行远程代码、获取未授权访问限制或发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:Cisco WirelessLAN Controller拒绝服务漏洞(CNVD-2016-07077)、Cisco

Wireless LANController TSM SNMP拒绝服务漏洞、Cisco WebEx Meetings Player远程代码执行漏洞、Cisco

WebExMeetings Player拒绝服务漏洞、Cisco Small Business 220 Series Smart

PlusSwitches未授权访问漏洞、Cisco Small Business 220 Series Smart

PlusSwitches跨站请求伪造漏洞、Cisco Small Business 220 Series Smart

PlusSwitches跨站脚本漏洞、Cisco Small Business 220 Series Smart Plus

Switches拒绝服务漏洞等。其中,“Cisco WebExMeetings

Player远程代码执行漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

3、Foxit产品安全漏洞

Foxit

Reader是中国福昕(Foxit)软件公司的出品的一款小型的PDF文档查看和打印程序,PhantomPDF是一个商业版。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞远程获取敏感信息,执行任意代码或发起拒绝服务攻击。

CNVD收录的相关漏洞包括:Foxit Reader和PhantomPDF远程命令执行漏洞(CNVD-2016-07030)、Foxit

Readerand Foxit PhantomPDF存在多个拒绝服务漏洞、Foxit Reader and

PhantomPDFDLL加载远程命令执行漏洞、Foxit Reader and Foxit PhantomPDF存在多个远程命令执行漏洞、Foxit

Readerand Foxit PhantomPDF越界读信息泄露漏洞、Foxit Reader and

FoxitPhantomPDF越界读写远程命令执行漏洞、Foxit Reader和PhantomPDF远程命令执行漏洞、Foxit

Reader'ConvertToPDF'插件信息泄露漏洞等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

4、SAP产品安全漏洞

SAP TREX是德国思爱普(SAP)公司的一款用于SAP NetWeaver集成技术平台中的搜索引擎。SAP UtilityCustomer

E-Services是一个基于j2ee的Web应用程序。SAP HANA是一套高性能的实时数据分析平台。SAP

SolutionManager是一套集系统监控、SAP支持桌面、自助服务、ASAP实施等多个功能为一体的系统管理平台。SAP

NetWeaver是一套面向服务的集成化应用平台,SAP NetWeaverAS

Java是一款运行于NetWeaver中且基于Java编程语言的应用服务器。SAP AdaptiveServer Enterprise(Sybase

ASE)是一套关系型数据库管理系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、远程执行命令或发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:SAP TREX信息泄露漏洞、SAP TREX远程命令执行漏洞、SAP UtilityCustomer

E-Services点击劫持漏洞、SAP HANA Enterprise安全绕过漏洞、SAP SolutionManager远程命令注入漏洞、SAP

NetWeaver SAPSTARTSRV远程缓冲区溢出漏洞、SAP NetWeaverAS JAVA拒绝服务漏洞、SAP Adaptive Server

Enterprise拒绝服务漏洞。其中,“SAP TREX远程命令执行漏洞、SAP

SolutionManager远程命令注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

5、ZKTeco ZKBioSecurity 3.0硬编码证书远程系统命令执行漏洞

ZKBioSecurity是一个生物识别安防综合管理平台。上周,ZKBioSecurity被披露存在远程系统命令执行漏洞。攻击者可利用JSP应用程序恶意WAR归档文件上传,导致攻击者以系统权限执行任意代码的能力。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。在此提醒广大用户随时关注厂商主页,以获取最新版本。

专家点评和建议

中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结:上周,PHP产品被披露存在信息泄露和拒绝服务漏洞,攻击者可利用漏洞泄露敏感信息和发起拒绝服务攻击。此外,Cisco、Foxit、SAP等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞远程执行任意代码、泄露敏感信息或发起拒绝服务攻击等。另外,ZKBioSecurity被披露存在远程系统命令执行漏洞。攻击者可利用JSP应用程序恶意WAR归档文件上传,导致攻击者以系统权限执行任意代码的能力。建议相关用户随时关注上述厂商主页,及时获取修复补厄解决方案。

本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器申请免费试用图文教程(个人和企业均可申请)
阿里云服务器有免费试用的吗?应该如何申请?很多用户在购买阿里云服务器之前都想申请一台免费的云服务器来试用一下,本文以图文形式教大家如何申请阿里云免费试用云服务器。
451 0
企业云服务器怎么选择?
目前,超过60%的大型公司正在使用或尝试将其IT相关任务迁移到云服务器或私有云架构中,云服务器能够通过消除资本支出来降低成本,并且通过将IT管理外包给服务提供商来缩减运维成本。此外,公司知道其应用和数据存放在云服务器中是安全的。
860 0
企业云服务器怎么选择?【小白攻略】
目前,超过60%的大型公司正在使用或尝试将其IT相关任务迁移到云服务器或私有云架构中,云服务器能够通过消除资本支出来降低成本,并且通过将IT管理外包给服务提供商来缩减运维成本。此外,公司知道其应用和数据存放在云服务器中是安全的。
927 0
+关注
9363
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载