資安新聞及事件週報 2018/11/26 ~ 2018/11/30
1.重大弱點漏洞
PHP Proxy 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19458
PHP 遠端執行程式碼漏洞
https://securitytracker.com/id/1042157
近1/5智能攝像頭存漏洞 三成廠商不考慮安全問題
http://finance.sina.com/bg/economy/economy_indu/chinanews/2018-11-27/doc-ivctqsww7795962.shtml
Glibc 阻斷服務漏洞
https://securitytracker.com/id/1042174
MariaDB Client 10.1.26 - Denial of Service (PoC)
https://www.exploit-db.com/exploits/45901
Mac OS X - libxpc MITM Privilege Escalation (Metasploit)
https://www.exploit-db.com/exploits/45916
思科修復Prime License Manager中的關鍵SQL注入漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15441
Cisco NX-OS拒絕服務漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0378
Cisco NX-OS拒絕服務漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0456
電子學習平台Moodle出現嚴重CSRF缺陷,TWCERT/CC籲儘速修補
https://www.ithome.com.tw/news/127237
合勤科技修補VMG1312-B10D無線閘道器Directory Traversal破綻
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=5056
Zyxel VMG1312-B10D 5.13AAXA.8 - Directory Traversal
https://www.exploit-db.com/exploits/45904
2018年11月30日 星期五
2018年11月23日 星期五
資安新聞及事件週報 2018/11/19 ~ 2018/11/23
資安新聞及事件週報 2018/11/19 ~ 2018/11/23
1.重大弱點漏洞
微軟發佈11月份安全性公告
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/ff746aa5-06a0-e811-a978-000d3a33c573
Micro Focus NetIQ Access Manager 跨站脚本漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12480
美國郵政局發布API 漏洞補丁6000 萬用戶安全受影響
http://hackernews.cc/archives/24479
美國郵政服務USPS站點緊急修復用戶信息安全漏洞
http://www.tmtpost.com/nictation/3605826.html
開發人員指Gmail有幽靈郵件臭蟲,可讓寄件人資訊隱形
https://www.ithome.com.tw/news/127189
Dropbox的紅隊演練意外找出macOS的3個零時差漏洞
https://www.ithome.com.tw/news/127212
ZOHO ManageEngine OpManager 跨站脚本漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19288
DJI 被爆身份認證存安全漏洞 帳戶隨時被騎劫 幸已修補
https://bit.ly/2Q7tJt2
VMware 發布新的安全更新
https://www.vmware.com/security/advisories/VMSA-2018-0027.html
Cisco 多個產品存在安全性弱點
https://www.us-cert.gov/ncas/current-activity/2018/11/07/Cisco-Releases-Security-Updates
Gmail漏洞可以任意修改發件人地址
http://www.4hou.com/vulnerable/14586.html
Gmail app用戶謹防幽靈郵件以假亂真
https://www.twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=5052
1.重大弱點漏洞
微軟發佈11月份安全性公告
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/ff746aa5-06a0-e811-a978-000d3a33c573
Micro Focus NetIQ Access Manager 跨站脚本漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12480
美國郵政局發布API 漏洞補丁6000 萬用戶安全受影響
http://hackernews.cc/archives/24479
美國郵政服務USPS站點緊急修復用戶信息安全漏洞
http://www.tmtpost.com/nictation/3605826.html
開發人員指Gmail有幽靈郵件臭蟲,可讓寄件人資訊隱形
https://www.ithome.com.tw/news/127189
Dropbox的紅隊演練意外找出macOS的3個零時差漏洞
https://www.ithome.com.tw/news/127212
ZOHO ManageEngine OpManager 跨站脚本漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19288
DJI 被爆身份認證存安全漏洞 帳戶隨時被騎劫 幸已修補
https://bit.ly/2Q7tJt2
VMware 發布新的安全更新
https://www.vmware.com/security/advisories/VMSA-2018-0027.html
Cisco 多個產品存在安全性弱點
https://www.us-cert.gov/ncas/current-activity/2018/11/07/Cisco-Releases-Security-Updates
Gmail漏洞可以任意修改發件人地址
http://www.4hou.com/vulnerable/14586.html
Gmail app用戶謹防幽靈郵件以假亂真
https://www.twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=5052
2018年11月16日 星期五
資安新聞及事件週報 2018/11/12 ~ 2018/11/16
資安新聞及事件週報 2018/11/12 ~ 2018/11/16
1.重大弱點漏洞
PostgreSQL 遠端執行任意程式碼漏洞
https://www.auscert.org.au/bulletins/71634
PS4破解新跳板,竟然是透過HDMI CEC觸發漏洞
https://www.techbang.com/posts/62562-ps4-cracked-the-new-springboard-even-through-the-hdmi-cec-trigger-vulnerability
安裝再等等!Windows 10十月更新再傳損毁磁碟映射、不相容趨勢防毒
https://bit.ly/2QMk5sX
韓研究人員驚爆 D-Link 韌體又有 10 大漏洞
https://bit.ly/2K8fU8f
小米路由器青春版存在代碼執行漏洞
http://www.cnvd.org.cn/flaw/show/CNVD-2018-21078
Nginx 漏洞致 1400 萬台伺服器受 DoS 攻擊
https://bit.ly/2DkX4t9
Nginx 漏洞(CVE-2018-16843,CVE-2018-16844)
http://blog.51cto.com/falconfei/2315598
伺服器軟體Nginx兩模組瑕疵恐衍生DoS
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=5048
VMware vmxnet3 堆疊記憶體初始化漏洞
https://www.vmware.com/security/advisories/VMSA-2018-0027.html
小蟻家用攝影機27US型驚現一打嚴重漏洞
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=5047
Red Hat JBoss 洩露資料漏洞
https://www.auscert.org.au/bulletins/71610
儘速更新,WordPress的GDPR套件漏洞雖修復,但已遭利用並傳出災情
https://twcert.org.tw/subpages/securityInfo/hackevent_details.aspx?id=881
研究人員首次發現 GPU 存在側通道安全漏洞 NVIDIA GPU 或成攻擊目標
https://bit.ly/2QEyU0z
Nvidia遭爆GPU存在旁路攻擊漏洞, 駭客能取得CUDA應用程式內部參數
https://www.ithome.com.tw/news/127063
交換機系統Asterisk配置記憶體不足,肇生存取衝突
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=5049
WordPress外掛WooCommerce爆遠端程式攻擊漏洞,逾400萬網站受累
https://www.ithome.com.tw/news/126945
Google Home 智能音響現首個無接觸攻破漏洞
https://t.cj.sina.com.cn/articles/view/2118746300/7e4980bc02000izec
Google Home 智慧喇叭被發現首個無接觸攻破漏洞,將推送安全更新
https://ccc.technews.tw/2018/11/13/google-home-tencent-blade-team/
思科 WebEx Meetings Server 資料洩露漏洞
https://securitytracker.com/id/1042085
1.重大弱點漏洞
PostgreSQL 遠端執行任意程式碼漏洞
https://www.auscert.org.au/bulletins/71634
PS4破解新跳板,竟然是透過HDMI CEC觸發漏洞
https://www.techbang.com/posts/62562-ps4-cracked-the-new-springboard-even-through-the-hdmi-cec-trigger-vulnerability
安裝再等等!Windows 10十月更新再傳損毁磁碟映射、不相容趨勢防毒
https://bit.ly/2QMk5sX
韓研究人員驚爆 D-Link 韌體又有 10 大漏洞
https://bit.ly/2K8fU8f
小米路由器青春版存在代碼執行漏洞
http://www.cnvd.org.cn/flaw/show/CNVD-2018-21078
Nginx 漏洞致 1400 萬台伺服器受 DoS 攻擊
https://bit.ly/2DkX4t9
Nginx 漏洞(CVE-2018-16843,CVE-2018-16844)
http://blog.51cto.com/falconfei/2315598
伺服器軟體Nginx兩模組瑕疵恐衍生DoS
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=5048
VMware vmxnet3 堆疊記憶體初始化漏洞
https://www.vmware.com/security/advisories/VMSA-2018-0027.html
小蟻家用攝影機27US型驚現一打嚴重漏洞
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=5047
Red Hat JBoss 洩露資料漏洞
https://www.auscert.org.au/bulletins/71610
儘速更新,WordPress的GDPR套件漏洞雖修復,但已遭利用並傳出災情
https://twcert.org.tw/subpages/securityInfo/hackevent_details.aspx?id=881
研究人員首次發現 GPU 存在側通道安全漏洞 NVIDIA GPU 或成攻擊目標
https://bit.ly/2QEyU0z
Nvidia遭爆GPU存在旁路攻擊漏洞, 駭客能取得CUDA應用程式內部參數
https://www.ithome.com.tw/news/127063
交換機系統Asterisk配置記憶體不足,肇生存取衝突
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=5049
WordPress外掛WooCommerce爆遠端程式攻擊漏洞,逾400萬網站受累
https://www.ithome.com.tw/news/126945
Google Home 智能音響現首個無接觸攻破漏洞
https://t.cj.sina.com.cn/articles/view/2118746300/7e4980bc02000izec
Google Home 智慧喇叭被發現首個無接觸攻破漏洞,將推送安全更新
https://ccc.technews.tw/2018/11/13/google-home-tencent-blade-team/
思科 WebEx Meetings Server 資料洩露漏洞
https://securitytracker.com/id/1042085
2018年11月9日 星期五
資安新聞及事件週報 2018/11/5 ~ 2018/11/09
資安新聞及事件週報 2018/11/5 ~ 2018/11/09
1.重大弱點漏洞
TI藍牙晶片遭爆兩個零時差漏洞,數百萬無線AP陷風險,思科、Aruba急搶修
https://www.ithome.com.tw/news/126826
特定Apache Struts 2版本含有陳年漏洞,曝遠端執行程式攻擊風險
https://times.hinet.net/news/22068255
Apache Syncope跨站腳本漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17184
不滿業者態度,俄羅斯研究人員直接揭露VirtualBox零時差漏洞
https://www.ithome.com.tw/news/126915
Red Hat JBoss 洩露資料漏洞
https://www.auscert.org.au/bulletins/71610
Windows Defender Antivirus曝新漏洞
http://safe.zol.com.cn/702/7023291.html
卡巴斯基技術發現一種Microsoft Windows零日漏洞
http://www.ccidnet.com/2018/1107/10435361.shtml
安全專家發現Edge 的0day 漏洞:可遠程執行代碼
https://www.oschina.net/news/101534/ms-edge-0day-exploit
Nginx 多個漏洞
https://usn.ubuntu.com/3812-1/
PostgreSQL 遠端執行任意程式碼漏洞
https://www.auscert.org.au/bulletins/71634
IBM DB2 多個漏洞
https://www.auscert.org.au/bulletins/71458
BleedingBit 藍牙晶片漏洞 數百萬 IoT 設備面臨攻擊
https://bit.ly/2yMT5T9
固態硬碟加密機制遭爆有漏洞,可能外洩加密資料
https://www.ithome.com.tw/news/126859
Crucial/三星部分SSD存在韌體漏洞:全碟硬體加密被秒破
https://www.xfastest.com/thread-223670-1-1.html
2018年11月2日 星期五
資安新聞及事件週報 2018/10/29 ~ 2018/11/02
資安新聞及事件週報 2018/10/29 ~ 2018/11/02
1.重大弱點漏洞
Your Web Applications Are More Vulnerable Than You Think
https://ibm.co/2EOZYIU
PayPal-Credit Card-Debit Card Payment 1.0 - SQL Injection
https://www.exploit-db.com/exploits/45728/
xorg-x11-server 1.20.3 - Privilege Escalation
https://www.exploit-db.com/exploits/45742/
xorg-x11-server < 1.20.3 - Local Privilege Escalation
https://www.exploit-db.com/exploits/45697/
WebDrive 18.00.5057 - Denial of Service (PoC)
https://www.exploit-db.com/exploits/45761/
蘋果更新眾多平台,修補安全漏洞
https://www.ithome.com.tw/news/126740
存在4年的LibSSH弱點,可讓駭客無須輸入密碼就能控制伺服器
https://www.ithome.com.tw/news/126764
New Privilege Escalation Flaw Affects Most Linux Distributions
https://bit.ly/2SpIo0N
近期數版X.Org Server出現Command Line參數核驗缺陷,易受入侵接管
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=5040
1.重大弱點漏洞
Your Web Applications Are More Vulnerable Than You Think
https://ibm.co/2EOZYIU
PayPal-Credit Card-Debit Card Payment 1.0 - SQL Injection
https://www.exploit-db.com/exploits/45728/
xorg-x11-server 1.20.3 - Privilege Escalation
https://www.exploit-db.com/exploits/45742/
xorg-x11-server < 1.20.3 - Local Privilege Escalation
https://www.exploit-db.com/exploits/45697/
WebDrive 18.00.5057 - Denial of Service (PoC)
https://www.exploit-db.com/exploits/45761/
蘋果更新眾多平台,修補安全漏洞
https://www.ithome.com.tw/news/126740
存在4年的LibSSH弱點,可讓駭客無須輸入密碼就能控制伺服器
https://www.ithome.com.tw/news/126764
New Privilege Escalation Flaw Affects Most Linux Distributions
https://bit.ly/2SpIo0N
近期數版X.Org Server出現Command Line參數核驗缺陷,易受入侵接管
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=5040
訂閱:
文章 (Atom)