Oracle发布1月重要补丁更新,修复334个漏洞;Intel修复性能分析工具VTune Profiler中的提权漏洞

发布时间 2020-01-16


1.Oracle发布1月重要补丁更新,修复334个漏洞



Oracle在2020年1月的季度重要补丁更新(CPU)中修复了其所有产品系列的334个漏洞,其中有43个漏洞被标为严重级别,其CVSS评分为9.1或更高。本次CPU中修复的漏洞数量与2019年7月的历史最高记录保持一致,超过了2017年7月的308个漏洞的记录。这些更新涵盖了Oracle部署最广泛的产品修复补丁,包括Oracle数据库服务器(共12个补丁,其中3个无需身份验证即可远程利用);Oracle通信应用程序(25个补丁,其中23个无需身份验证即可远程利用,6个为严重级别);Oracle企业管理器(50个补丁,其中10个无需身份验证即可远程利用,4个为严重级别);Oracle融合中间件(38个补丁,其中30个无需身份验证即可远程利用,3个严重级别);适用于Oracle MySQL的19个新安全补丁(6个无需身份验证即可远程利用);以及Oracle E-Business Suite(23个补丁,其中21个无需身份验证即可远程利用,2个为严重级别)等。


  原文链接:

https://threatpost.com/oracle-cpu-all-time-patch-high-january/151861/


2.InfiniteWP和WP Time Capsule插件漏洞,32万个网站受影响



WordPress插件InfiniteWP和WP Time Capsule中的严重漏洞使得32万个网站易受攻击。这两个插件用于帮助用户管理一台服务器上的多个WordPress网站,并在发布更新时为文件和数据库条目创建备份。WebArx安全研究人员发现它们的代码中存在逻辑错误,使得攻击者可以绕过密码来登录管理员账户。根据WordPress插件库,InfiniteWP被安装在30多万个网站上;而WP Time Capsule的安装量至少为2万。研究人员发现在低于版本1.9.4.5的InfiniteWP中,攻击者可以使用带有JSON和Base64编码的payload的POST请求来绕过密码,通过仅知道管理员用户名来登录。而在低于1.21.16的WP Time Capsule版本中,攻击者可通过在原始POST请求中添加恶意字符串来调用函数捕获可用的管理员账户列表并以第一个管理员身份登录。目前这两个插件都已发布更新修复了该问题。


 原文链接:

https://www.zdnet.com/article/critical-bugs-in-wordpress-plugins-infinitewp-wp-time-capsule-expose-300000-websites-to-attack/


3.Adobe发布1月安全更新,修复多款产品中的9个漏洞



Adobe发布1月安全更新,修复Adobe Experience Manager和Adobe Illustrator CC中的9个安全漏洞。这是Adobe在2020年发布的首个安全更新,令人意外的是本次更新并未包含任何针对Flash Manager的补丁。此次更新修复了Adobe Experience Manager中的4个信息泄露漏洞,但只有3个被归类为“重要”,另一个被归类为“中等”。此次更新还修复了Adobe Illustrator中的5个“严重”的远程实行代码漏洞(CVE-2020-3710~CVE-2020-3714)。建议所有用户尽快安装适用的更新。


 原文链接:

https://www.bleepingcomputer.com/news/security/adobe-releases-their-january-2020-security-updates/


4.Intel修复性能分析工具VTune Profiler中的提权漏洞



Intel修复了其性能分析工具VTune Profiler中的提权漏洞(CVE-2019-14613),该漏洞被归类为严重级别,可允许经过身份验证的本地攻击者潜在地提升特权。尽管VTune Profiler支撑Windows、Linux和Android平台,但Intel表示只有Windows版本受到影响,并且该漏洞源于VTune Amplifier驱动程序中的不当访问控制。除此之外,Intel还在1月补丁更新中修复了5个漏洞,但这些漏洞的严重性均为“中”或“低”。


 原文链接:

https://threatpost.com/intel-fixes-high-severity-flaw-in-performance-analysis-tool/151837/


5.澳大利亚P&N银行遭到网络攻击,客户账户信息泄露



澳大利亚P&N银行表示它们在服务器升级期间遭到网络攻击,导致客户的PII和账户信息泄露。P&N银行是Police&Nurses Limited的一个部门,在西澳大利亚州运营,其发布的通知称通过其客户关系管理(CRM)平台发生了信息泄露事件。该银行表示在去年12月12日前后进行了服务器升级,但在此期间遭到网络攻击,据称为该银行提供托管服务的企业是攻击入口点。可能泄露的信息包括客户的姓名、地址、电子邮件地址、电话号码、客户编号、年龄、帐号和帐户余额以及可能包含在互动记录中的信息,但不包括密码、社会安全号码、税务文件、驾照或信用卡信息。目前尚不清楚有多少客户受到影响。


 原文链接:

https://www.zdnet.com/article/p-n-bank-discloses-data-breach-customer-pii-account-information-stolen/


6.英国咨询企业CHS Consulting意外泄露数千员工信息



vpnMentor发现一个配置错误的AWS S3存储桶泄露了数千英国商务人员的个人详细信息。该存储桶属于英国咨询企业CHS Consulting,并且未经身份验证即可公开访问。但由于该企业没有网站,研究人员尚未能与该企业进行确认。泄露的数据库中包含多家英国咨询企业(包括Eximius Consultants、Dynamic Partners和IQ Consulting)的人力资源部门文件,尽管有些记录可以追溯到2011年,但大多数数据来自2014-15年。记录中包含护照扫描件、税务文件、犯罪信息记录和背景调查、与HMRC相关的文书工作、电子邮件和私人消息以及一系列个人识别信息,包括姓名、电子邮件和家庭住址、出生日期和电话号码等。


 原文链接:

https://www.infosecurity-magazine.com/news/uk-consultancies-leak-data/