【09.27】安全帮®每日资讯:思科互联网操作系统发现执行任意代码高危漏洞;WebSphere XML外部实体注入(XXE)漏洞
WebSphere XML外部实体注入(XXE)漏洞
近日,IBM官方发布通告修复了WAS中的一个XML外部实体注入(XXE)漏洞(CVE-2020-4643),由于WAS未正确处理XML数据,攻击者可以利用此漏洞远程获取服务器上的敏感信息。WebSphere Application Server是企业级Web中间件,由于其可靠、灵活和健壮的特点,被广泛应用于企业的Web服务中。
参考来源:
https://dy.163.com/article/FNEJNIFJ0511A5GF.html
思科互联网操作系统发现执行任意代码高危漏洞,需要尽快升级
9月24日,思科公司发布了一系列补丁程序,目的是修复网络巨头无处不在的互联网操作系统(IOS)中的漏洞。这些补丁修复了各种产品的漏洞,解决了拒绝服务、文件覆盖和输入验证攻击,特权升级,执行任意代码等问题。通报的这些漏洞中严重性等级为高的有29个,严重等级为中等的有13个,影响易受攻击的Cisco IOS 和 Cisco IOS XE软件版本的Cisco设备。
参考来源:
https://baijiahao.baidu.com/s?id=1678792316115518873&wfr=spider&for=pc
NIST SP 800-53《信息系统和组织的安全和隐私控制》第5版正式发布
NIST旗舰性的安全和隐私指南文件SP 800-53《信息系统和组织的安全和隐私控制》的上一次重大更新已经过去了七年。自2013年以来,该出版物已从NIST网站访问或下载数百万次。2020年9月,NIST公布了其安全和隐私控制目录的历史性更新,它将在21世纪为保护组织和系统(包括的个人隐私)奠定坚实的基础。SP 800-53一直被视作NIST信息安全的支撑性文件。
参考来源:
https://www.secrss.com/articles/25883
Fortinet FortiOS 缓冲区错误漏洞
Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortiOS SSL VPN 5.6.12及之前版本,6.0.10及之前版本中存在安全漏洞,该漏洞源于缓冲区溢出,该漏洞允许攻击者通过SSL VPN身份验证的远程攻击者使FortiClient崩溃。
参考来源:
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202009-1478
Facebook 移除多个虚假账户 担忧大选期间黑客攻击
据报道,Facebook公司周四向外界表示,它已经移除了三个虚假账户网络,因为俄罗斯情报部门可能利用这些账户来泄露遭黑客入侵的文件,扰乱即将到来的美国大选。该公司表示,这些账户因使用假身份和其他类型的“协同不真实行为”而被暂停使用。这些账户与俄罗斯情报部门和位于圣彼得堡的一个组织有关。美国官员曾指责该组织试图影响2016年的总统选举。
参考来源:
http://hackernews.cc/archives/32304
Edge稳定版85.0.564.63发布,修复诸多严重安全漏洞
面向 Windows 和 macOS 平台,9月26日,微软发布了基于 Chromium 的 Edge 稳定版 85.0.564.63,只是在 85.0.564.51 版本基础上进行小幅调整。从版本符号变化中可以说明该浏览器并没有获得任何功能,只是获得了新的安全补丁。本次稳定版更新并不是修复存在于 Edge 中的漏洞,而是修复存在于 Chromium 浏览器中漏洞。建议用户尽快更新Microsoft Edge。
参考来源:
https://news.pconline.com.cn/1374/13744991.html
KuCoin加密货币交易所被黑了1.5亿美元
总部位于新加坡的加密货币交易所KuCoin在其网站上发布的声明中确认,威胁者破坏了其系统,并清空了所有资金的热钱包。KuCoin使用热钱包作为平台上当前正在交换资产的临时存储系统,并用于为转换操作和资金转移提供动力。黑客设法窃取了比特币资产,基于ERC-20的令牌以及其他类型的令牌,目前估计损失至少为1.5亿美元 。
参考来源:
https://www.zdnet.com/article/kucoin-cryptocurrency-exchange-hacked-for-150-million/
本文资讯内容来源于互联网,版权归作者所有,如有侵权,请留言告知,我们将尽快处理。
关于安全帮®
安全帮®,是中国电信网络与信息安全研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。