安全漏洞与安全事件日报

天融信安全云服务中心
安全漏洞与安全事件日报
(2017-1-22)
手机泄密事件间谍软件居首,终端系统越来越傻瓜化,泄密似乎也越来越容易,保障终端安全需要全面的系统化解决方案。
最新安全漏洞漏洞标题:IBM dashDB Local 安全漏洞提交时间:2017-01-20披露/发现时间:漏洞等级:高CVE-ID:CVE-2016-8954漏洞类别:安全漏洞CNNVD-ID:CNNVD-201701-794影响组件:IBM dashDB Local 1.0.0版本至1.3.1版本漏洞描述:IBM dashDB Local是美国IBM公司的一套在私有云、虚拟私有云和其他容器支持的基础架构中使用的下一代数据仓库存储和分析解决方案。该方案具有灵活的容器交付、混合环境存储数据、基于Spark内存计算、数据分析等特点。IBM dashDB Local 1.0.0版本至1.3.1版本中存在安全漏洞,该漏洞源于程序使用硬编码证书。远程攻击者可利用该漏洞获取Docker容器或数据库的访问权限。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://www-01.ibm.com/support/docview.wss?uid=swg21994471
漏洞标题:Oracle MySQL Server 安全漏洞提交时间:2017-01-20披露/发现时间:漏洞等级:高CVE-ID:CVE-2017-3238漏洞类别:安全漏洞CNNVD-ID:CNNVD-201701-620影响组件:Oracle MySQL中的MySQL Server组件中的Server: Optimizer子组件漏洞描述:Oracle MySQL Server是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。该数据库系统具有性能高、成本低、可靠性好等特点。攻击者可利用该漏洞造成拒绝服务(组件挂起和频繁崩溃),影响数据的可用性。以下版本受到影响:MySQL Server 5.5.53及之前的版本,5.6.34及之前的版本,5.7.16及之前的版本。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html
漏洞标题:Phoenix Contact mGuard 安全漏洞提交时间:2017-01-20披露/发现时间:漏洞等级:高CVE-ID:CVE-2017-5159漏洞类别:安全漏洞CNNVD-ID:CNNVD-201701-693影响组件:Phoenix Contact mGuard 8.4.0版本中存在安全漏洞漏洞描述:Phoenix Contact mGuard是德国菲尼克斯电气(Phoenix Contact)集团的一款工业安全设备。攻击者可利用该漏洞以管理员权限登录系统。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页: https://www.phoenixcontact.com/
漏洞标题:Groovy LDAP API 安全漏洞提交时间:2017-01-20披露/发现时间:漏洞等级:高CVE-ID:CVE-2016-6497漏洞类别:安全漏洞CNNVD-ID:CNNVD-201701-719影响组件:Groovy LDAP API中的main/java/org/apache/directory/groovyldap/LDAP.java文件漏洞描述:Groovy LDAP API是一个Groovy(一种基于Java平台面向对象的编程语言)的LDAP扩展API。攻击者可通过设置returnObjFlag值为‘true’利用该漏洞实施LDAP entry poisoning攻击。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: https://mail-archives.apache.org/mod_mbox/directory-users/201610.mbox/%3Cb7d7e909-a8ed-1ab4-c853-4078c1e7624a%40stefan-seelmann.de%3E
漏洞标题:Sociomantic-tsunami git-hub 安全漏洞提交时间:2017-01-20披露/发现时间:漏洞等级:高CVE-ID:CVE-2016-7794漏洞类别:安全漏洞CNNVD-ID:CNNVD-201701-758影响组件:Sociomantic-tsunami git-hub 0.10.3之前的版本漏洞描述:Sociomantic-tsunami git-hub是德国Sociomantic Lab公司的一个通过Git命令行直接访问GitHub任务的Git命令行界面。远程攻击者可借助特制的repository名称利用该漏洞执行任意代码。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: https://github.com/sociomantic-tsunami/git-hub/issues/197
安全资讯
应对数据泄露 安全体系建设是王道
继2016年大规模数据泄露事件集中爆发之后,2017年数据泄露形式仍不容乐观。
去年互联网门户网站巨头雅虎因被曝出总计15亿的用户账户信息遭黑客入侵泄露,而成为史上最大规模已公开“数据泄露”事件的主角;而美国民主党全国委员会某工作人员邮箱遭入侵并曝光希拉里竞选团队内部邮件,在特朗普最终获胜美国大选进程中可谓“功不可没”的邮件门事件,也让所有企业高管和各国政要敲响了内部威胁警钟。
企业内部敏感数据流转链条长,攻击面广,特别是有众多员工、承包商和第三方供应商参与的世界500强企业,使得企业对数据泄露的防护难度巨大;再加上行业监管机构的罚款影响,如发生企业将承受巨大经济损失。
在数据泄露事件发生后,企业和用户对事件本身的关注点也不完全一致。比起迫切需要泄露信息细节以及相应赔偿措施的用户,拥有大量客户或业务敏感数据的企业则更关心公司要弥补此次数据泄露事件带来的负面影响所要付出的成本,以及之后安全能力建设的侧重方向。

京东要入侵二手交易领地了,谁将发慌?

去年6月,由Ponemon Institute和IBM联合发布,对全球12个国家/地区、383家曾遭遇过数据泄露企业进行的一项数据泄露成本调研,表达了下面3个主要观点。

PwnFest世界黑客大赛:谷歌Pixel不到60秒即被中国团队攻破

1. 医疗行业每条记录平均泄露成本最高
受到行业严格监管的如:医疗、教育、金融等重点行业其每条记录的平均泄露成本远高于行业数据泄露每条158美元这一整体平均值。
此外,金融、医疗、服务等重点行业更容易因数据泄露流失客户,且客户流失量越大,每条记录的平均泄露成本也越高。
2. 由网络钓鱼等外部犯罪和内部威胁所组成的恶意/犯罪攻击成为数据泄露事件主要根源
在所有接受调研的企业发生数据泄露的根本原因中,48%涉及恶意/犯罪攻击(包括感染恶意软件、网络钓鱼、社会工程、SQL注入和内部人员犯罪),25%人为错误(内部员工或承包商的疏忽),另有27%为系统故障(IT和业务流程故障)。而这其中,由恶意/犯罪攻击引起的数据泄露事件每条记录的平均成本最高,为170美元。
同时,调研显示,任一国家/地区由恶意/犯罪攻击所导致的单条记录的平均泄露成本均高于由人为错误或系统故障所导致的数据泄露事件。
3. 事件响应、威胁情报共享等防护措施可有效降低数据泄露成本
专业的事件响应团队、敏感数据的广泛加密、员工安全培训、威胁情报共享等防护措施可以有效降低数据泄露事件发生后每条记录的平均泄露成本。相对的,第三方参与、大规模数据往云端迁移等动作则会对增加平均泄露成本。特别的,数据防泄漏(DLP)市场在2015年之后的新一轮快速增长的原因,从其对降低数据泄露成本的积极作用中可见一斑。
从上面的调研结果中不难看出,如何有效预防和阻止数据泄露事件的发生,以及泄露事件发生后的快速响应,都已成为许多行业巨头IT/安全部门工作中的重中之重。但是,只是部署用户行为分析(UBA)、企业防数据泄露(DLP)等安全产品,便试图彻底杜绝数据泄露发生的可能性,是不现实的。任何安全产品都有其独特的适应场景和限制,只有将恰当的安全能力融入到一个完善的安全架构中,进行叠加式创新和体系化安全建设,才会达到真正的防护效果。

宁夏治理垃圾短信一年拦截3300多万条

我们要意识到一点,无论是通过钓鱼或社会工程等手段的外部渗透,还是内部人员的“刻意为之”,对企业管理层来讲,结果上是殊途同归。那么诉诸于技术手段后相对应的防护思路,也应该是一致的。企业防数据泄露,要靠“对特权账号权限的管控”以及“多视角的发现与快速响应”这两条腿来走路。
暗数据:隐藏的商机
如今,每个组织都收集,存储和保留部分暗数据。它是每个用户互动,交易和客户参与的一个数字等价的情感包袱。
事实上,由于没有有效地使用数据,使美国联合航空公司每年收入损失近10亿美元。
Gartner公司将暗数据描述为“组织在其常规业务活动过程中收集,处理和存储但未能用于其他目的的信息资产”。
对于那些在线存在的旅行公司来说,暗数据意味着其所有存储数据的绝大部分。这些例子可能包括:

·用户重置密码的次数
·用户登录企业网站/应用程序时的IP地址
·与客户的上次电子邮件通信日期
·手机类型或网络浏览器版本
·酒店住宿或最近航班的文本反馈
·机票或酒店房间的额外乘客或客人姓名
这些数据点或特征经常被营销团队忽略,因为它们提供任何有用的目的,而存在这种类型的信息仅被收集用于合规性,欺诈或法规要求的感觉。
如何将暗数据转换为活动的创收数据?
这就是数据科学,营销和商业智能需要集中在一起,找到激活暗数据的新方法为组织提供新的机会。虽然暗数据可能在表面上显得迟钝和无趣;但也有方法将它变成高粒度的内容丰富的客户洞察力。
以下是上面所举的例子的几个关键步骤:
安全行业新闻荟萃!神马都有!
1.用户登录到企业网站或移动应用程序,采用的是哪个城市或国家IP地址?企业是否正在记录用户访问的每个位置并创建其旅行的虚拟地图?当企业创建用户的全面视图时,这将特别引人注目。
2.预订时的其他乘客/客人姓名。这不仅可以洞察用户的同情,并加强企业社交网络图,哪些用户集中连接,并具有影响力,但这也提供了深入了解他们的家庭和工作场所。将此数据与社交图表相关联,企业将快速获得年龄,性别和行为特征。
3.手机数据。这个简单的数据将带来一系列新的产品和营销机会,并提供额外的细分层以提高营销效果。企业从手机数据可能知道应该与哪些电信合作伙伴合作(这将激活更多的机会),企业会知道其用户实时信息,例如,他们最近购买了另一家航空公司的机票,等等。
4.自由文本输入,如反馈可以通过认知文本分析工具来确定反馈的一般情绪是否为正。将用户配置文件链接到内部数据库还可以确定与调查和反馈表单相比,此用户是否在社交媒体上发送混合消息。
暗数据在执行时可能是一个非常强大的武器。这是企业寻找新的见解,创造新的收入机会,也是发展新的合作伙伴关系,并将业务转移到数据驱动的世纪的关键。

(内容来源:CNNVD 补天 天融信安全云服务中心 阿尔法实验室等相关国内热门安全论坛)
微信扫一扫关注该公众号

公司的安全管理人员的启示是加强各类系统用户密码的复杂度、账户锁定策略、入侵检测,并且加强各设备系统的访问控制规则,远程管理一定不要对所有互联网IP地址放开。

猜您喜欢

可信技术:助推网络安全等保制度加速落地
信息安全员工手册《信息安全红宝书》
白帽黑客培训班
苏北也有个“胡家花园”
ITIANKONG SHERIMILLER
互联网金融“宝宝们”的信息安全敌手并非黑客

安全漏洞与安全事件日报

天融信安全云服务中心
安全漏洞与安全事件日报
(2017-1-21)
最新安全漏洞漏洞标题:Citrix Provisioning Services 缓冲区错误漏洞提交时间:2017-01-20披露/发现时间:漏洞等级:高CVE-ID:CVE-2016-9676漏洞类别:缓冲区错误漏洞CNNVD-ID:CNNVD-201701-718影响组件:Citrix Provisioning Services 7.12之前的版本漏洞描述:Citrix Provisioning Services是美国思杰系统(Citrix Systems)公司的一套桌面虚拟化软件。该软件支持通过网络将桌面镜像交付给物理虚拟桌面等。Citrix Provisioning Services 7.12之前的版本中存在缓冲区溢出漏洞。攻击者可利用该漏洞执行任意代码。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://support.citrix.com/article/CTX219580
漏洞标题:Oracle E-Business Suite Oracle XML Gateway 安全漏洞提交时间:2017-01-20披露/发现时间:漏洞等级:高CVE-ID:CVE-2017-3303漏洞类别:安全漏洞CNNVD-ID:CNNVD-201701-659影响组件:Oracle E-Business Suite 12.1.1,12.1.2,12.1.3,12.2.3,12.2.4,12.2.5,12.2.6版本漏洞描述:Oracle E-Business Suite(电子商务套件)是美国甲骨文(Oracle)公司的一套全面集成式的全球业务管理软件。该软件提供了客户关系管理、服务管理、财务管理等功能。Oracle XML Gateway是其中的一个支持XML消息传递的服务。Oracle E-Business Suite中的Oracle XML Gateway组件中的Oracle Transport Agent子组件存在安全漏洞。攻击者可利用该漏洞未授权访问、更新、插入或删除数据,影响数据的保密性和完整性。以下版本受到影响:Oracle E-Business Suite 12.1.1,12.1.2,12.1.3,12.2.3,12.2.4,12.2.5,12.2.6版本。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

2016偿付能力风险管理能力评估结果:6家产险公司不足60分

漏洞标题:Citrix Provisioning Services 安全漏洞提交时间:2017-01-20披露/发现时间:漏洞等级:高CVE-ID:CVE-2016-9678漏洞类别:执行任意代码漏洞CNNVD-ID:CNNVD-201701-716影响组件:Citrix Provisioning Services 7.12之前的版本漏洞描述:Citrix Provisioning Services是美国思杰系统(Citrix Systems)公司的一套桌面虚拟化软件。该软件支持通过网络将桌面镜像交付给物理虚拟桌面等。Citrix Provisioning Services 7.12之前的版本中存在释放后重用漏洞。攻击者可利用该漏洞执行任意代码。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://support.citrix.com/article/CTX219580
漏洞标题:Citrix Provisioning Services 信息泄露漏洞提交时间:2017-01-20披露/发现时间:漏洞等级:中CVE-ID:CVE-2016-9680漏洞类别:信息泄露漏洞CNNVD-ID:CNNVD-201701-714影响组件:Citrix Provisioning Services 7.12之前的版本漏洞描述:Citrix Provisioning Services是美国思杰系统(Citrix Systems)公司的一套桌面虚拟化软件。该软件支持通过网络将桌面镜像交付给物理虚拟桌面等。Citrix Provisioning Services 7.12之前的版本中存在安全漏洞。攻击者可利用该漏洞从内核内存中获取敏感信息。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://support.citrix.com/article/CTX219580

漏洞标题:Oracle MySQL Enterprise Monitor 安全漏洞提交时间:2017-01-20披露/发现时间:漏洞等级:中CVE-ID:CVE-2016-5590漏洞类别:安全漏洞CNNVD-ID:CNNVD-201701-640影响组件:MySQL Enterprise Monitor 3.1.3.7856及之前版本组件中的Monitoring: Agent子组件漏洞描述:Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。该数据库系统具有性能高、成本低、可靠性好等特点。MySQL Enterprise Monitor是一款专为MySQL数据库设计的企业级监控软件。Oracle MySQL中的MySQL Enterprise Monitor 3.1.3.7856及之前版本组件中的Monitoring: Agent子组件存在安全漏洞。攻击者可利用该漏洞控制组件,影响数据的完整性、保密性和可用性。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html
安全资讯
奥巴马政府发布文件 美中情局可“预审”公民信息
当地时间1月18日,美国奥巴马政府发布了美国中央情报局(CIA)关于收集、分析和储存美国公民资讯的行政命令12333号。
根据12333号文件,CIA将有权提前处理大量未经评估的数字通讯资料,包括美国公民的个人信息。CIA称,此次行政命令的颁布将使CIA跟上资讯时代的变化。这也是奥巴马政府首次对外完整地发布12333号文件。
CIA总顾问克拉斯在CIA位于弗吉尼亚州的总部发表简报时表示,12333号文件是“以一种保护美国人民隐私和公民权利的方式”来设计制定的,它将是美国历史上的又一个里程碑。
克拉斯称,随着美国人线上信息的逐步增加,CIA也应该调整规则来保护美国人的信息安全。
在过去的几年间,奥巴马政府一直在更新和调整12333号文件。据美国媒体报道,12333号文件共计41页,最大的特别之处在于:允许CIA提前处理大量未经评估的数字通讯资料。此外,CIA还将有权删除过去5到25年之间的某些敏感数据和信息,包括可能涉及到美国公民的个人信息。
但很多美国民众也对政府监控权力的进一步扩大感到不安。2013年,前美国政府雇员斯诺登披露美国国安局“棱镜”监听项目秘密文件,引起美国全民哗然。美国人从此对自己的隐私倍感担忧。
不过,随着当选总统特朗普即将宣誓就职,美国新政府或再度提起修订12333号文件。此前,特朗普曾多次表示要加强政府的监控力度,包括监控美国境内的部分宗教场所。

关乎美国国家安全 特朗普将使用什么样的手机?
根据美国私营企业网络安全专家及前任政府情报工作人员的观点,新任总统唐纳德·特朗普已经成为网络间谍与入侵活动的“高风险目标”。而在此基础之上,特朗普继续直接使用在售智能手机机型——而非像上任总统奥巴马那样于2009年接受由美国国家安全局为其提供的定制高安全性黑莓手机——显然会令潜在风险进一步加剧。
目前,特朗普仍继续使用自己的Android手机,作为与助理沟通、表达不满的主要渠道。考虑到网络攻击活动的特殊性,特别是指向世界级领导人及高影响力商业领袖的恶意入侵,特朗普所使用的手机设备势必将面临巨大威胁。
比如在特朗普发布Twitter消息时,相关公司的股价将会波动。如果有黑客攻破特朗普的手机,利用键盘记录软件了解他正在编写的消息,即使只是提前30秒获悉消息内容,那么也可以成为内幕交易的重要信息,从而一夜暴富,甚至对美国经济造成严重破坏。
移动设备安全语音与短信互操作性解决方案供应商KoolSpan执行主席艾拉德`尤兰(Elad Yoran)解释称,“首先,(美国总统的手机)面临着运营商层面的未加密通话、移动消息收发与网络浏览行为遭受敌对活动者拦截的风险。其次,本地Wi-Fi网络很可能被轻松审查及监控。(事实上)存在着大量相应的防御技术与执行步骤以解决这些问题。”

根据IBTimes发布的报道,奥巴马总统的手机设备“被屏蔽了大部分功能,以便为其添加额外的加密层。奥巴马本人此前亦明确表示,他的手机无法“拍照、无法编辑短信、手机功能无法使用……也无法用来播放音乐。”
NowSecure公司经理山姆·贝肯(Sam Bakken)解释称,攻击者之所以将矛头指向重要人士的手机设备,是因为其中包含有数量极为庞大的关键性个人与专业数据。
他表示,“举例来说,相比之下我们的笔记本通常并不了解我们身处何处,但手机却非常清楚这一点。”
专门负责为美国中央情报局提供服务的MobileIron公司首席解决方案架构师杰姆斯·普劳夫(James Plouffe)亦指出,黑客通常会采用多种不同战术及资源对政治人士及商界精英进行入侵,从而实现重要信息的窃取。
美国国安局特定入侵行动办公室(Tailored Access Operations,简称TAO)主任罗伯·乔伊斯(RobJoyce)在去年召开的USENIX Enigma大会上表示,简而言之,此类重要目标“绝不希望被背后捅刀”。TAO往往被视为政府管辖之下最为出色的黑客组织; 他们的任务包括尝试接入并利用各类国外计算机网络。
杰姆斯·普劳夫指出,“大多数网络犯罪活动属于机会主义行为,但这些攻击的关键并非支付卡信息或者个人身份资料等典型目标,而是直接指向企业或者国家机密。很明显,此类攻击者将拥有更多可资调配的资源,且入侵积极性更高。他们拥有专门的研究项目及团队,并将寻找一切可能获取其实施入侵所需要的漏洞。”
尽管多次向特朗普的总统过渡团队发出邮件及电话沟通,但对方并没有给出回应。《华盛顿邮报》、《政治报》与《纽约时报》亦分别发布相关报道,指出特朗普目前仍在继续直接使用在售Android智能手机。而最新的一篇相关报道刚刚于本周内发布。
联邦调查局与美国国土安全部前任顾问尤兰解释称,“外国情报与执法机构拥有极为庞大的资源、巨大的耐心与坚持不懈的态度,这正是其与普通黑客活动者最为本质的区别。这些实体通常会设定非常具体及狭义的目标群体与个人,例如政府官员或者商务差旅人士。”
尤兰同时指出,“考虑到这些对手很可能已经掌握了攻击目标的航班记录、会议议程、即将现身的地点、所住酒店的房间信息以及关于同事的个人信息,受到民族国家支持的攻击者将尝试立足不同阶段对目标进行持续攻击。”
在2009年赴莫斯科访问的外交使团中,白宫演说文稿作者本·罗德斯(Ben Rhodes)回到酒店房间时,意外发现几位西装革履的工作人员在翻查其随身财物。
罗德斯在接受《时代》杂志采访时回忆道,“我之前在员工办公室工作,随后回到自己的房间拿点东西。当时保洁人员站在那里,另有三名身着西装的男子在房间里翻查我的东西或者是进行其它什么工作。当我走进房间时,他们立刻把东西放下并走出房间,且没有做出任何说明。”
罗德斯在莫斯科的经历再次证明了重要人物所面临的巨大网络威胁。安全专家们还在采访中强调称,针对电子设备的物理访问与潜在操纵都属于这类威胁范畴。
海关与检查站等控制性机构很可能迫使某人交出自己的设备,而这还只是此类威胁中的实例之一。
黑莓公司安全事务主管阿历克斯·梅尼亚(AlexManea)表示,“如果攻击者能够访问到经过信息解锁的重要目标人物,那么他们将能够很快提取出必要信息或者直接安装某种间谍软件,从而悄悄从中挖掘数据并将其上传至攻击者的服务器端。即使是已经锁定的重要目标人物,对于攻击者而言仍然具备重要价值,这是因为任何未经加密的数据都可通过从设备内直接拔出闪存卡的形式进行导出与分析。”
作为专门针对智能手机的网络攻击手段,目前最为常见的途径包括广泛部署钓鱼邮件、在开放市场中发布包含恶意软件的应用以及通过短信发出恶意链接。
SnoopWall公司CEO加里·米利弗斯基(Gary Miliefsky)解释称,“很多高管人员会不假思索地接收来自其联系人列表内人员发来的鱼叉式钓鱼短信,事实上对方已经受到感染,且这样的作法会导致受害者访问短信指向的恶意远程访问木马。只要一次错误点击,短信附件就会在不知不觉间感染您的设备。手机随后会成为一台追踪设备——包括使用其GPS、麦克风及摄像头等功能。”
米利弗斯基还据此给出实例——黑客能够伪装成一位已知且可信的联系人,并诱导攻击目标下载病毒。这种作法已经得到研究人员的关注与证实。
Lookout Security研究员安德鲁·布兰奇(Andrew Blaich)表示,“在Pegasus间谍软件攻击中,攻击方使用了多个不同域名。这些域名对于临时访问者而言似乎真实可信。攻击者先后伪造了红十字国际委员会、英国政府签证申请处理网站以及多家新闻媒体及重要技术企业的站点。攻击者能够充分发挥移动设备在我们日常生活中的便利性优势,以及只有移动设备才能提供的功能组合。”
Pegasus恶意软件变体由Lookout Security公司与公民实验室合作发现。这一恶意软件最初现身于一位中东著名人权活动家的iPhone之上。研究人员对其进行数字化溯源,而这款恶意软件的缔造者最终被确认为一家名为NSOGroup的以色列安全企业——这是一家全球性监控厂商,与FinFisher及Hacking Team等知名间谍软件厂商处于竞争关系。在相关调查结果公开发布后不久,苹果方面即发布了一项操作系统更新,旨在修复Pegasus所利用的这项最新漏洞。
杰姆斯·普劳夫指出,“重要人士需要意识到,其攻击者将抱有更大的决心并具备更充裕的资金。Pegasus就是其中一类定制化恶意软件,专门针对高价值攻击目标打造。而且根据估算,其对单一目标的入侵成本约在2万5千美元左右。”
目前,特朗普的过渡团队尚未透露,特朗普在入主白宫后将会使用什么样的手机。特朗普并不需要自己去解决这一问题。有专门的部门,即白宫通信局,负责支持总统的通信需求。负责保卫总统的特勤部也会做出评估。
垃圾邮件僵尸网络、命令与控制服务器不断有被端掉,每次都令全球垃圾邮件量大降,不过这些僵尸网络集团不只一家,而且倒下的还会卷土重来,正义与邪恶的斗争仍将继续下去,无休无止。
关于政府部门是否可以强迫特朗普放弃自己当前正在使用的手机,情况有些复杂。特朗普有可能拒绝特勤部给予的技术安全建议。不过根据法律,这样的措施是强制性的,总统不能拒绝。
美国的外部信息安全专家认为,未来的情况将会是以下这样:
约翰霍普金斯大学计算机科学教授马修·格林(MatthewGreen)表示,总统的手机不得连接互联网。这一条显而易见,但此次需要得到重申。所有连接至互联网的设备都有可能被攻击。
这意味着特朗普不得自行发布Twitter消息,而特朗普需要使用Android系统,而不是iPhone,因为Android更容易订制。不过,特朗普也有可能像奥巴马一样,手机只能打电话,以及向可信任的助手和家人发消息。
“记者保护委员会”的数字安全专家汤姆·罗文索尔(TomLowenthal)表示,如果特朗普及其助理坚持使用商用手机,那么这些手机将不可带到高层会议的现场,因为手机有可能被攻击,导致麦克风被打开。
在奥巴马任职期间,在老行政办公大楼以外有盒子专门用于保管手机。即使是讨论最基本的国家安全事务,手机也不得携带入场。机密数据网络不得连接至手机,其中包括电子邮件服务器和文档共享平台。此外,像希拉里一样设置私人电子邮件服务器也不是个好主意。
格林指出,特朗普的手机肯定不得配备GPS模块,这将防止通过GPS模块的信息安全攻击。
[公告]华工科技:关于修改《公司章程》的公告
特朗普可以参考奥巴马此前的经验。在奥巴马2008年入入主白宫时,他希望继续使用自己喜欢的黑莓手机。然而在信息安全评估之后,奥巴马拿到了一部专门设计的黑莓手机,但这部手机与他之前使用的版本完全不同。
总统的黑莓手机获得了专门加密软件的保护,只能与家人和主要顾问拨打电话、发送消息,而这些人也都使用专用的手机。只有双方都使用同样的加密技术,才能保证安全通信。

北京网警一年破案3400余起 集中在黑客网络诈骗

奥巴马也使用过iPad。奥巴马个人用iPad去上网,了解圈外其他人的想法。去年,奥巴马升级至一部没有披露详情的新智能手机。然而,摄像头等大部分功能仍被禁用。奥巴马曾在电视节目上表示:“这无法拍照,无法播放音乐。”
关于Twitter,特朗普可能无法再通过自己的智能手机去发消息。他或许需要使用台式机去发消息,这意味着特朗普午夜使用Twitter的习惯可能需要改改。不过,特朗普的当选打破了白宫的先例。在他出任美国总统之后,任何事情都有可能发生。

(内容来源:CNNVD 补天 天融信安全云服务中心 阿尔法实验室等相关国内热门安全论坛)
微信扫一扫关注该公众号

实时监控和主动审计可以让我们及早发现问题,所以我们需要制定主动监控系统日志以便找出入侵迹象的常规工作流程。

猜您喜欢

启明星辰:建立西部网络安全人才的基地
安全沟通门户建设
网络安全宣传日网上交易安全培训视频
LOL新春活动即将开启五千万份永久皮肤免费领
REGROWTH BILLSCLOCKWORKS
1分钟的信息安全意识动画教程,包括信息安全注意事项及十字安全歌谣,白板动漫,让信息安全知识变得更有趣味。

【H1Z1】1月25日第三赛季测试服务器更新补丁内容

《h1z1》第三赛季前1月25日将更新什么呢?一些玩家对第三赛季更新内容是什么还不是很清楚,下面小编就为大家分享《h1z1》第三赛季1月25日更新内容介绍,一起来看看吧。
h1z1第三赛季1月25日更新内容介绍:
h1z1将会在1月25日迎来第三赛季开始前的更新,今天h1z1的测试服务器则会在今天进行更新,本文带来更新内容。
首先是官方的机翻文章,后边将为大家一一分析

欢迎来到2017!这是一个新的一年,我们有很多真正令人兴奋的事情计划为杀戮之王。这个更新有一些非常需要的错误修复和一般抛光,我们急于进入游戏。今天要打击测试服务器,你的反馈将是非常重要的。
下一个游戏补丁 – 1月25日
我们正排着队我们的下一个补丁去住在1月25 日作为目标日期。测试服务器将在今天更新所有这些。这是在此更新期望的。
刷新: 我们能够解决所有已知的武器问题,包括所有武器的重载问题。它应该是一致的现在,但我可以使用一些人真正看这个,看看是否有任何其他情况下可能已被错过。这些应该是很少的,如果有的话。

PHP 安全团队已发布安全补丁修复 PHP 7 中的高危漏洞 https://www.myzaker.com/article/586772e91bc8e0a518000001/

游戏UI结束: 游戏UI的结束现在应该告诉你是谁杀了你。我可以从经验中说,无法看到谁得到你的人是多么接近他/她自己的死亡是非常令人沮丧。
车载弹射:你不应该再从汽车喷出,然后停留在地方没有能力做任何事情。这个bug驱使许多人坚果(没有双关语),我很高兴看到这一个消失。
无限清单:有一个漏洞,允许某些用户具有无限的库存,这已被解决。
投机修正:我们相信,我们将会对游戏1/25更新之前到位以下问题的修补程序。还有一些边缘情况,我们将需要你的帮助和反馈,我们完全指出这些之前。
克劳奇发送垃圾邮件: 我们已经解决了克劳奇垃圾邮件。当前的修复是稍微延迟你可以恢复站立的速度,所以标线,相机运动和动画都是同步的,以消除快速蹲伏的利用,并能保持准确。
公司应履行的信息系统安全管理职责包括:组织公司信息系统安全规划与建设工作,制订相关管理规定。
克劳奇块: 如果你蹲在旁边的一个对象,它通常会阻止你,如果你想站备份,你会需要稍微往回走,才能站立。你现在应该能够站起来了(假设没有什么东西直接在你角色的头上)。
表情: 我们清洁了表情,使他们不再能发挥在执行其他操作(如抢劫或拍摄) -这样的行动将永远中断表情。我们还有一个入站修复(不是在这个构建),将防止绑定表达式与其他操作相同的键来固化修复和清除任何最后边缘情况。
EU服务器
欧盟的服务器在休假期间遭遇了相当严重的一系列登录中断,使事情更具挑战性。我想对在那里遇到的问题道歉; 我们一直在努力寻找一个更好的硬件解决方案,在不久的将来应该有所作为。这个游戏看到了欧洲的增长最快,我们所有的服务器重点现在是更好地服务于该地区比我们目前。
下周,我们将部署一个软件更改,旨在最大限度地发挥所有服务器的功能。之后,我们将切换到新的服务器,看看它们是如何做的。我已经开始在Reddit上一个线程对这个问题特别,我会爱你的直接反馈,你可以找到这里。
作弊
我们在游戏中看到更多的喋喋不休。我想向你保证,我们非常认真地进行作弊,每当我们有明显的作弊证据时,我们已采取行动,并将继续这样做。关键是,我们一直在稳步地踢出被抓住的人,并且不会消失。没有人会或将会得到特别待遇。
测试服务器
从本周开始,我们将不同地使用我们的测试服务器,以帮助我们在部署现场之前大规模测试游戏,并在困难重现错误时获得更多时间。我们将锁定测试服务器作为默认情况,然后在特定时间解锁它们,并要求您切换并在测试中进行一些匹配以查看特定的更改等。我们将发布已推送到测试的更改以及与测试服务器计划一起专门查找和提供反馈的内容。我们相信,这将有助于抓住任何新的问题,他们的生活。
对于本周,我们在测试服务器上可以支持的玩家数量仍然有限。在接下来的几个星期,我们将增加能力处理更多的人,并为我们的欧盟朋友在欧洲增加测试服务器。所有这一切,说,本周可能有一些队列问题,如果一吨人尝试和帮助我们,但我们应该缓解这一点。
本周,我们可以使用帮助,注意上面列出的问题,以确保他们确实走了。开发团队的成员也将进行测试,所以一定要说HI!
测试服务器今天将保持锁定。请检查明天(1/19)有关我们将解锁测试服务器的详细列表。
Airdrop票废数据转换
我们有这个计划发生在我们下一次停机时,我们修补现场服务器。再次,我要感谢您对这一点的耐心。我们想要彻底,并确保我们有一切确定和排队,使这个尽可能平滑。
我们也利用这个机会更新您可以从Scrapyard收到的项目。我们添加了来自Marauder,Vigilante,Mercenary,Showdown(2015)和Ronin条板箱(加几个其他)的项目,所以有很多东西现在拉出来。
第二季结束; 第3季开始
第二季将在下一个游戏更新结束。我们也将给予猎枪皮肤奖励的任何人,完成了前10名的分数,并放置在排行榜。这个猎枪匹配与前季节1给出的背包。
我们将立即开始一个前季节3,因为补丁有很多变化,值得坚实的测试。
第一个是对于完成位置和更重要的是杀死的新得分值。我们想奖励在游戏中的侵略比我们现在更多。整理位置仍然是最重要的,但你现在将得到更多的你杀了比你以前会有更多的奖励。这些变化为整理和杀死带来了所有新的价值,所以我们想要另一个前季节来测试他们的工作方式,并收集您的反馈意见。我们将发布一篇文章,专门显示新的价值观,当我们开始前季节3,以便你可以看到它是如何变化。
此外,我们在游戏HUD中添加了“杀戮计数”和“下一个杀戮价值”元素,使您更容易知道自己在比赛中的位置。现在,在杀人Feed界面元素中还有一个与您的名称相关联的排行榜层图标,以便每个人都可以看到您的状态。
第3季结束前会有一个奖项,可能是一个表情,根据你完成的季节稍微不同。
当前Bug的发展
下面是我们下面列出的当前错误:
车辆:三车虫子两个都还在调查之中。我在我最后的制片人的信中谈到这些。我们仍然在看车辆自动加速和卡住涡轮增压。
反冲:还有就是我们正在呼吁反冲错误的bug。这是当你的枪已经回到中心比十字准线更快。你可以实际上准确地射击之前十字线告诉你,你在目标上了。我们将使十字准线匹配枪实际上在做什么,这样我们就不会混乱任何肌肉记忆和学习的技能,现在到位。

查办总统丑闻的韩国检方受到黑客攻击

将Throwable和鼠标灵敏度:如果你使用一个抛出,然后再ADS(目标下的景点),默认的鼠标灵敏度得到弄糟。我们正在寻找解决这一个。
门:在我们列表中我们试图追踪的更困难的bug之一是,一个门可能出现对一个玩家打开,但关闭另一个。
一些很好的解决办法出去,我很兴奋如何使用测试服务器不同地将有助于我们的生活稳定。

解析:
意思就是1月25号会有一个更新,修复一切他知道所有枪的BUG.而且1月25号 第二赛季结束 只要打完十场比赛就会得到喷子皮肤.(详情看游戏武器页面的喷子皮肤).而且第三赛季奖励是表情.而且是根据你不同的段位给你不同的动作. 意思就是下个赛季要更加需要单排,需要冲击皇家 钻石.组队狗的出现即将上演.
华工科技:2016年度业绩预告
该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号

黑客可以用短信遥控开车门,也可遥控驾驶汽车的消息,看来汽车越来越电脑化,自动化控制系统很方便驾车人员,也很方便高级偷车贼。

猜您喜欢

EHS工作“管理要借力”
TOTP多因子身份验证服务与Web安全
网络安全公益短片社交网络安全基础
上海车牌新年首拍超23万人竞拍均价逾8万元
VRAIANDORO ROYALQUIZ
信息安全意识小贴士

【H1Z1】1月25日第三赛季测试服务器更新补丁内容

《h1z1》第三赛季前1月25日将更新什么呢?一些玩家对第三赛季更新内容是什么还不是很清楚,下面小编就为大家分享《h1z1》第三赛季1月25日更新内容介绍,一起来看看吧。
h1z1第三赛季1月25日更新内容介绍:
h1z1将会在1月25日迎来第三赛季开始前的更新,今天h1z1的测试服务器则会在今天进行更新,本文带来更新内容。

港媒:后朴槿惠时代 韩日慰安妇及军事情报协议或生变

首先是官方的机翻文章,后边将为大家一一分析

昆明近1500座非涉密单位厕所两年免费开放,今年完成八成

欢迎来到2017!这是一个新的一年,我们有很多真正令人兴奋的事情计划为杀戮之王。这个更新有一些非常需要的错误修复和一般抛光,我们急于进入游戏。今天要打击测试服务器,你的反馈将是非常重要的。
下一个游戏补丁 – 1月25日
我们正排着队我们的下一个补丁去住在1月25 日作为目标日期。测试服务器将在今天更新所有这些。这是在此更新期望的。
刷新: 我们能够解决所有已知的武器问题,包括所有武器的重载问题。它应该是一致的现在,但我可以使用一些人真正看这个,看看是否有任何其他情况下可能已被错过。这些应该是很少的,如果有的话。
游戏UI结束: 游戏UI的结束现在应该告诉你是谁杀了你。我可以从经验中说,无法看到谁得到你的人是多么接近他/她自己的死亡是非常令人沮丧。
车载弹射:你不应该再从汽车喷出,然后停留在地方没有能力做任何事情。这个bug驱使许多人坚果(没有双关语),我很高兴看到这一个消失。
无限清单:有一个漏洞,允许某些用户具有无限的库存,这已被解决。
投机修正:我们相信,我们将会对游戏1/25更新之前到位以下问题的修补程序。还有一些边缘情况,我们将需要你的帮助和反馈,我们完全指出这些之前。
克劳奇发送垃圾邮件: 我们已经解决了克劳奇垃圾邮件。当前的修复是稍微延迟你可以恢复站立的速度,所以标线,相机运动和动画都是同步的,以消除快速蹲伏的利用,并能保持准确。
克劳奇块: 如果你蹲在旁边的一个对象,它通常会阻止你,如果你想站备份,你会需要稍微往回走,才能站立。你现在应该能够站起来了(假设没有什么东西直接在你角色的头上)。
落实EHS方针必不可少的员工培训知识库动画视频版
表情: 我们清洁了表情,使他们不再能发挥在执行其他操作(如抢劫或拍摄) -这样的行动将永远中断表情。我们还有一个入站修复(不是在这个构建),将防止绑定表达式与其他操作相同的键来固化修复和清除任何最后边缘情况。
EU服务器
欧盟的服务器在休假期间遭遇了相当严重的一系列登录中断,使事情更具挑战性。我想对在那里遇到的问题道歉; 我们一直在努力寻找一个更好的硬件解决方案,在不久的将来应该有所作为。这个游戏看到了欧洲的增长最快,我们所有的服务器重点现在是更好地服务于该地区比我们目前。
下周,我们将部署一个软件更改,旨在最大限度地发挥所有服务器的功能。之后,我们将切换到新的服务器,看看它们是如何做的。我已经开始在Reddit上一个线程对这个问题特别,我会爱你的直接反馈,你可以找到这里。
作弊
我们在游戏中看到更多的喋喋不休。我想向你保证,我们非常认真地进行作弊,每当我们有明显的作弊证据时,我们已采取行动,并将继续这样做。关键是,我们一直在稳步地踢出被抓住的人,并且不会消失。没有人会或将会得到特别待遇。
测试服务器
从本周开始,我们将不同地使用我们的测试服务器,以帮助我们在部署现场之前大规模测试游戏,并在困难重现错误时获得更多时间。我们将锁定测试服务器作为默认情况,然后在特定时间解锁它们,并要求您切换并在测试中进行一些匹配以查看特定的更改等。我们将发布已推送到测试的更改以及与测试服务器计划一起专门查找和提供反馈的内容。我们相信,这将有助于抓住任何新的问题,他们的生活。
客户的安全需求是组织实施信息安全管理体系的一大驱动力,作为客户,我们要从供应商分享很多数据,理所当然要请供应商向我们展示他们的安全能力,以及在用适当的方式保护我们的关键数据。
对于本周,我们在测试服务器上可以支持的玩家数量仍然有限。在接下来的几个星期,我们将增加能力处理更多的人,并为我们的欧盟朋友在欧洲增加测试服务器。所有这一切,说,本周可能有一些队列问题,如果一吨人尝试和帮助我们,但我们应该缓解这一点。

黑客组织Anonymous威胁揭露川普和俄罗斯黑社会勾结

本周,我们可以使用帮助,注意上面列出的问题,以确保他们确实走了。开发团队的成员也将进行测试,所以一定要说HI!
测试服务器今天将保持锁定。请检查明天(1/19)有关我们将解锁测试服务器的详细列表。
Airdrop票废数据转换
我们有这个计划发生在我们下一次停机时,我们修补现场服务器。再次,我要感谢您对这一点的耐心。我们想要彻底,并确保我们有一切确定和排队,使这个尽可能平滑。
我们也利用这个机会更新您可以从Scrapyard收到的项目。我们添加了来自Marauder,Vigilante,Mercenary,Showdown(2015)和Ronin条板箱(加几个其他)的项目,所以有很多东西现在拉出来。
第二季结束; 第3季开始
第二季将在下一个游戏更新结束。我们也将给予猎枪皮肤奖励的任何人,完成了前10名的分数,并放置在排行榜。这个猎枪匹配与前季节1给出的背包。
我们将立即开始一个前季节3,因为补丁有很多变化,值得坚实的测试。
第一个是对于完成位置和更重要的是杀死的新得分值。我们想奖励在游戏中的侵略比我们现在更多。整理位置仍然是最重要的,但你现在将得到更多的你杀了比你以前会有更多的奖励。这些变化为整理和杀死带来了所有新的价值,所以我们想要另一个前季节来测试他们的工作方式,并收集您的反馈意见。我们将发布一篇文章,专门显示新的价值观,当我们开始前季节3,以便你可以看到它是如何变化。
此外,我们在游戏HUD中添加了“杀戮计数”和“下一个杀戮价值”元素,使您更容易知道自己在比赛中的位置。现在,在杀人Feed界面元素中还有一个与您的名称相关联的排行榜层图标,以便每个人都可以看到您的状态。
第3季结束前会有一个奖项,可能是一个表情,根据你完成的季节稍微不同。
当前Bug的发展
下面是我们下面列出的当前错误:
车辆:三车虫子两个都还在调查之中。我在我最后的制片人的信中谈到这些。我们仍然在看车辆自动加速和卡住涡轮增压。
反冲:还有就是我们正在呼吁反冲错误的bug。这是当你的枪已经回到中心比十字准线更快。你可以实际上准确地射击之前十字线告诉你,你在目标上了。我们将使十字准线匹配枪实际上在做什么,这样我们就不会混乱任何肌肉记忆和学习的技能,现在到位。
将Throwable和鼠标灵敏度:如果你使用一个抛出,然后再ADS(目标下的景点),默认的鼠标灵敏度得到弄糟。我们正在寻找解决这一个。
门:在我们列表中我们试图追踪的更困难的bug之一是,一个门可能出现对一个玩家打开,但关闭另一个。
一些很好的解决办法出去,我很兴奋如何使用测试服务器不同地将有助于我们的生活稳定。
解析:
意思就是1月25号会有一个更新,修复一切他知道所有枪的BUG.而且1月25号 第二赛季结束 只要打完十场比赛就会得到喷子皮肤.(详情看游戏武器页面的喷子皮肤).而且第三赛季奖励是表情.而且是根据你不同的段位给你不同的动作. 意思就是下个赛季要更加需要单排,需要冲击皇家 钻石.组队狗的出现即将上演.
该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号


我们大多数的网站都是为了向客户介绍我们的产品和服务,以及加强同客户的沟通与交流,而这些产品和服务可能在不断的变化之中。

猜您喜欢

从互联网到互联网+:如何保护网络安全 个人信息
网络安全意识——个人信息保护常识
借助云端EHS培训服务快速建立安全与健康检查培训体系
澳一家4口被困日滑雪场12小时靠挖雪洞御寒
VIBRANTURE NUTTYKONG
探讨从管理层面应对零天攻击的有效对策

Android新漏洞被曝光:或致设备被窃听

据外媒报道,日前IBM(国际商业机器公司)X-Force的安全研究人员发布了一份报告称,Android智能手机的“启动模式”中存在一个严重的安全漏洞。攻击者不仅可以通过这个漏洞侵入手机的调制解调器,甚至可以用来监听手机通话!

网络发贴攻击威胁未成年人或被判刑

Android又曝漏洞
IBM X-Force安全研究人员表示,Android的“手机启动模式”漏洞利用被恶意软件感染的PC(或恶意电源适配器)来隐匿访问USB接口,除此之外,还可以访问到手机确切的GPS坐标、详细的卫星信息、呼叫地点、窃取呼叫信息、访问或改动EFS分区上的“非易失性项目”。
万幸的是,这个漏洞被公开利用前,谷歌就已经发布补丁进行了修复。

支付宝曝重大安全漏洞 熟人可改密码 支付宝会作何回应

网络谣言危及互联网健康发展,针对网上谣言,不仅仅需要加强言论的监控,更需要对网民进行互联网道德和素质教育,近期美英两国也有重罚那些不负责任乱讲话的网民。
此外,研究者还在f_usbnet驱动中还发现了另一个漏洞(CVE-2016-6678),攻击者可借此有效的访问和染指网络流量。据悉Google将该漏洞标记为“中度严重”(moderate serverity),并已于2016年10月推出了上述问题的修复补丁。

再一次快速了解昆明亭长朗然科技有限公司
系统之家关注我长按扫描下列二维码,加入会员,轻松解决各类电脑系统问题!!!

该文章作者已设置需关注才可以留言

普京下令发动网络攻击影响美国大选?

微信扫一扫关注该公众号

密码多长最合适?专家建议12位,仅长度并不够,如果使用身份证号码或手机号码,可能会方便了攻击者,所以复杂度也一定得考虑,要记住即复杂又长的密码,需要来一些技巧。

猜您喜欢

2017 RSA大会推出网络安全教育计划 凝聚新兴人才
信息安全宣传活动策划案
面向全体员工的OHSAS18001体系在线培训课程问世
气象局:春运期间南方大范围雨雪冰冻灾害可能性较小
TMMSOCIETY WINELEGACY
公司员工信息安全意识教育动画视频

CNNVD漏洞月报(2016年12月)

本期导读漏洞态势

三人用黑客软件攻击旅行社票务系统 获取门票倒卖

根据国家信息安全漏洞库(CNNVD)统计,2016年12月份采集安全漏洞共854个,Android平台和Mozilla Firefox浏览器成为黑客重要攻击目标。
本月接报漏洞共计3920个,其中信息技术产品漏洞(通用型漏洞)209个,网络信息系统漏洞(事件型漏洞)3711个。
重大漏洞预警
1、Linux内核存在竞争条件漏洞(CNNVD-201612-097)。Linux kernel 4.8.12及之前版本的内核代码中存在竞争条件漏洞。本地攻击者可通过恶意篡改套接字版本利用该漏洞获取特权,或造成拒绝服务等攻击。
2、PHPMailer存在输入验证漏洞(CNNVD-201612-675,CNNVD-201612-755)。PHPMailer是一个用于发送电子邮件的PHP类库。PHPMailer 5.2.18之前的版本中存在输入验证漏洞(CNNVD-201612-675),但补丁未能完全修复该漏洞,从而导致新的输入验证漏洞产生(CNNVD-201612-755)。上述漏洞均源于该类库未对用户输入进行有效过滤,远程未授权的攻击者可通过输入恶意构造的参数利用上述漏洞,在使用了该PHP类库的Web服务器中执行任意代码,可导致目标主机被完全控制。
漏洞态势一、公开漏洞情况根据国家信息安全漏洞库(CNNVD)统计,2016年12月份新增安全漏洞共854个,从厂商分布来看,Google公司产品的漏洞数量最多,共发布89个;从漏洞类型来看,信息泄露类的漏洞占比最大,达到11.71%。本月新增漏洞中,超危漏洞25个、高危漏洞74个、中危漏洞658个、低危漏洞97个,相应修复率分别为100.00%、91.89%、90.27%以及94.85%。合计779个漏洞已有修复补丁发布,本月整体修复率91.22%。
截至2016年12月31日,CNNVD收录漏洞总量已达88708个。
1.1 漏洞增长概况2016年12月新增漏洞数量有所上升,共854个,与上月(657个)相比增加了29.98%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到785个。
图1 2016年7月至2016年12月漏洞新增数量统计图
1.2 漏洞分布情况1.2.1漏洞厂商分布12月厂商漏洞数量分布情况如表1所示,Google公司达到89个,占本月漏洞总量的10.42%。本月Apple、Mozilla、Apache等公司的漏洞数量均有所上升。与之相反,Microsoft、NVIDIA、OIC等厂商的漏洞数量出现较不同程度的下降。
表1 2016年12月排名前十厂商新增安全漏洞统计表
1.2.2 漏洞产品分布1、主流操作系统漏洞12月主流操作系统的漏洞统计情况如表2所示,本月Windows系列操作系统漏洞数量共65条,其中桌面操作系统40条,服务器操作系统25条。本月Android漏洞数量最多,达到67个,占主流操作系统漏洞总量的40.11%,排名第一。
表2 2016年12月主流操作系统漏洞数量统计
由于Windows整体市占率高达百分之九十以上,所以上表针对不同的Windows版本分别进行统计
上表漏洞数量为影响该版本的漏洞数量,由于同一漏洞可能影响多个版本操作系统,计算某一系列操作系统漏洞总量时,不能对该系列所有操作系统漏洞数量进行简单相加。
2、Web浏览器漏洞数量统计
SQL注入问题的解决最终只能依赖程序开发人员的安全意识,另外,不少人都喜欢在不同的网站使用相同的密码,这也太危险。
下图为12月各主要Web浏览器漏洞数量统计。本月主流浏览器漏洞数量上升,达到93个,是上月(12个)的7倍多。本月Mozilla Firefox漏洞数量最多,达到34个,占主流浏览器漏洞的36.56%。
图2 2016年12月Web浏览器漏洞数量统计
1.2.3 漏洞类型分布12月份发布的漏洞类型分布如表3所示,其中信息泄露类漏洞所占比例最大,约为11.71%,排名第一。
表3 2016年12月漏洞类型统计表
1.2.4 漏洞危害等级分布根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。12月漏洞危害等级分布如图3所示,其中超危漏洞25条,占本月漏洞总数的2.93%。本月漏洞危害等级分布如图3所示。
图3 2016年12月漏洞危害等级分布

1.3漏洞修复情况1.3.1 整体修复情况12月漏洞修复情况按危害等级进行统计见图4,其中超危漏洞修复率最高,达到100.00%,中危漏洞修复率最低,比例为90.27%,本月超危、中危、低危漏洞修复率均有所上升,高危漏洞修复率稍有下降,导致本月整体修复率有所上升,由上月的87.80%上升至本月的91.21%,上升了3.4个百分点。
图4 2016年12月漏洞修复数量统计
1.3.2 厂商修复情况12月漏洞修复情况按漏洞数量前十厂商进行统计,多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Google、Apple、IBM、Microsoft、Mozilla、Adobe、Linux、NVIDIA、Cybozu、Huawei等公司共552条漏洞已全部修复,占本月漏洞的64.64%。详细情况见表4。
表4 2016年12月厂商修复情况统计表

1.4 重要漏洞实例1.4.1 超危漏洞实例本月超危漏洞共25个,其中重要漏洞实例如表5所示。
表52016年12月超危漏洞实例

1.Adobe Flash Player 缓冲区错误漏洞(CNNVD-201612-408)
Adobe Flash Player是美国奥多比(Adobe)公司的一款跨平台、基于浏览器的多媒体播放器产品。该产品支持跨屏幕和浏览器查看应用程序、内容和视频。
Adobe Flash Player中存在缓冲区溢出漏洞。攻击者可利用该漏洞执行任意代码。以下版本受到影响:
-Adobe Flash Player for Windows和Macintosh 23.0.0.207及之前的版本
-Adobe Flash Player for Google Chrome 23.0.0.207及之前的版本
-Adobe Flash Player for Microsoft Edge和Internet Explorer 11 23.0.0.207及之前的版本
-Adobe Flash Player for Linux 11.2.202.644及之前的版本
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
2.VMware vSphere Data Protection 信任管理漏洞(CNNVD-201612-630)
VMware vSphere Data Protection(VDP)美国威睿(VMware)公司的一套基于磁盘的备份和恢复解决方案。该方案通过与VMware vCenter Server(服务器和虚拟化管理软件)集成,可用来对备份作业执行集中式管理,同时将备份文件存储在经过重复数据消除的目标存储位置。
VMware VDP 5.5.x版本至6.1.x版本中存在安全漏洞,该漏洞源于程序包含公有密码的SSH私钥。远程攻击者可借助SSH会话利用该漏洞获取登录权限。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.vmware.com/security/advisories/VMSA-2016-0024.html
3.Cisco CloudCenter Orchestrator Docker Engine 权限许可和访问控制漏洞(CNNVD-201612-622)
Cisco CloudCenter是美国思科(Cisco)公司的一套混合云管理平台解决方案。该方案支持应用迁移、跨众多云环境进行DevOps自动化以及在云中或云间进行动态扩容等。Orchestrator是用于其中的一个编排器组件。Docker Engine是其中的一个容器引擎扩展。
Cisco CloudCenter Orchestrator中的Docker Engine配置存在安全漏洞,该漏洞源于程序没有正确配置文件。远程攻击者可借助提升的权限利用该漏洞在受影响的系统中安装Docker容器。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161221-cco
4.Adobe Flash Player 代码注入漏洞(CNNVD-201612-395)
Adobe Flash Player是美国奥多比(Adobe)公司的一款跨平台、基于浏览器的多媒体播放器产品。该产品支持跨屏幕和浏览器查看应用程序、内容和视频。
Adobe Flash Player中存在释放后重用漏洞。攻击者可利用该漏洞执行任意代码。以下版本受到影响:
-Adobe Flash Player for Windows和Macintosh 23.0.0.207及之前的版本
-Adobe Flash Player for Google Chrome 23.0.0.207及之前的版本
-Adobe Flash Player for Microsoft Edge和Internet Explorer 11 23.0.0.207及之前的版本
-Adobe Flash Player for Linux 11.2.202.644及之前的版本
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://helpx.adobe.com/security/products/flash-player/apsb16-39.html
5.Alcatel-Lucent OmniVista 8770 授权问题漏洞(CNNVD-201612-027)
Alcatel-Lucent OmniVista 8770是法国阿尔卡特-朗讯(Alcatel-Lucent)公司的一套网络管理系统。该系统支持基于角色管理提供安全接入和通过单一平台即可完成全部的管理服务、统一管理OmniPCX、OpenTouch关联的本地和远程设备等。
Alcatel-Lucent OmniVista 8770 2.0版本到3.0版本存在安全漏洞。攻击者可通过TCP 30024端口上的GIOP协议利用该漏洞绕过身份验证,以NT AUTHORITY\SYSTEM权限在服务器上执行任意命令。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
商业间谍与黑客参与搜索专利大战 APT攻击让提升员工信息安全意识
https://github.com/malerisch/omnivista-8770-unauth-rce

喷子傻眼!网信办:网络发帖攻击未成年人将承担刑事责任

1.4.2 高危漏洞实例本月高危漏洞共74个,其中重点漏洞实例如表6所示。
表62016年12月高危漏洞实例
1.Microsoft Internet Explorer和Edge 缓冲区错误漏洞(CNNVD-201612-369)
Microsoft Internet Explorer(IE)和Microsoft Edge都是美国微软(Microsoft)公司开发的Web浏览器。
Microsoft IE 11版本和Edge中的脚本引擎存在远程执行代码漏洞。攻击者可利用该漏洞在当前用户的上下文中执行任意代码,也可能造成拒绝服务(内存损坏)。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://technet.microsoft.com/security/bulletin/MS16-144
http://technet.microsoft.com/security/bulletin/MS16-145
2.Cisco AnyConnect Secure Mobility Client 权限许可和访问控制漏洞(CNNVD-201612-205)

Cisco AnyConnect Secure Mobility Client是美国思科(Cisco)公司的一款可通过任何设备安全访问网络和应用的安全移动客户端。
Cisco AnyConnect Secure Mobility Client中存在安全漏洞。本地攻击者可利用该漏洞以提升的权限安装并执行可执行的文件。

云南锗业:子公司取得《二级保密资格单位证书》 影响有限

解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161207-anyconnect1
3.Siemens SICAM PAS 输入验证漏洞(CNNVD-201611-666)
Siemens SICAM PAS是德国西门子(Siemens)公司的一套用于操作变电站的能源自动化软件。
Siemens SICAM PAS 8.08及之前的版本中存在安全漏洞。远程攻击者可通过向19235/TCP端口发送特制的数据包利用该漏洞在文件系统中上传、下载或删除文件。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-946325.pdf
4.MODX Revolution 路径遍历漏洞(CNNVD-201612-652)
MODX Revolution是美国MODX公司的一套基于PHP的开源内容管理系统(CMS)。该系统支持在线协作、搜索引擎优化(SEO)、附加组件等。
MODX Revolution 2.5.2-pl之前的版本中的/connectors/index.php文件存在目录遍历漏洞。远程攻击者可借助特制的‘dir’参数利用该漏洞读取inclusion/traversal/manipulation目录下的任意文件。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://raw.githubusercontent.com/modxcms/revolution/v2.5.2-pl/core/docs/changelog.txt
5.Linux kernel 竞争条件漏洞(CNNVD-201612-097)
Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。
Linux kernel 4.8.12及之前的版本中的net/packet/af_packet.c文件存在竞争条件漏洞。本地攻击者可借助‘CAP_NET_RAW’权限更改套接字版本利用该漏洞获取特权,或造成拒绝服务(释放后重用)。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=84ac7260236a49c79eede91617700174c2c19b0c
6.DotCMS SQL注入漏洞(CNNVD-201612-584)
DotCMS是美国DotCMS公司的一套内容管理系统(CMS)。该系统支持RSS订阅、博客、论坛等模块,并具有易于扩展和构建的特点。REST API是其中的一个支持轻量级REST风格Web脚本的API。
DotCMS 3.3.2之前的版本中的REST API存在SQL注入漏洞。远程攻击者可借助’stName’参数利用该漏洞执行任意SQL命令。
解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://dotcms.com/security/SI-35
二、接报漏洞情况本月接报漏洞共计3920个,其中信息技术产品漏洞(通用型漏洞)209个,网络信息系统漏洞(事件型漏洞)3711个。
表7 2016年12月漏洞报送情况
三、重大漏洞预警3.1关于Linux 内核漏洞情况的通报12月,互联网上披露了关于Linux内核存在竞争条件漏洞(CNNVD-201612-097)的相关情况。2016年11月30日,The Linux Kernel Organization 已针对该漏洞发布升级版本。由于上述漏洞影响范围广,危害级别高,CNNVD对此进行了跟踪分析,情况如下:
(一)漏洞简介
Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。
Linux kernel 4.8.12及之前版本的net/packet/af_packet.c文件中存在竞争条件漏洞(CNNVD-201612-097,CVE-2016-8655)。本地攻击者可借助‘CAP_NET_RAW’权限更改套接字版本利用该漏洞获取特权,或造成拒绝服务(释放后重用)。
(二)漏洞危害
1、攻击者只需要本地低权限,就能利用该漏洞导致拒绝服务(系统崩溃)或者以管理员权限执行任意代码。
2、若部署在该服务器上的Web应用存在安全漏洞,当远程攻击者利用Web漏洞获取本地权限后,可利用该漏洞提升权限至超级管理员(root),从而完全控制服务器。
(三)修复措施
目前,The Linux Kernel Organization已发布该漏洞的修复补丁,并且该漏洞细节及利用工具已在互联网上公开,请受影响用户尽快升级至最新版Linux Kernel以消除安全风险。官方链接如下:
Linux Kernel git存储库:https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=84ac7260236a49c79eede91617700174c2c19b0c
本通报由CNNVD技术支撑单位——北京知道创宇信息技术有限公司提供支持。
3.2关于PHPMailer漏洞情况的通报12月,CNNVD收到多个关于“PHPMailer”漏洞情况的报送。先是编号为CNNVD-201612-675的“PHPMailer输入验证漏洞”,2016年12月24日,PHPMailer官方针对该漏洞发布修复补丁,但安全人员发现该补丁未能完全修复该漏洞,从而导致新的输入验证漏洞产生(CNNVD-201612-755)。为此,12月28日,PHPMailer官方再次针对新漏洞发布修复补丁。由于上述漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:
(一)漏洞简介
PHPMailer是一个用于发送电子邮件的PHP类库。WordPress、Drupal、1CRM、SugarCRM、Yii、Joomla!、thinkphp等都默认调用了该类库。
PHPMailer 5.2.18之前的版本中存在输入验证漏洞(CNNVD-201612-675,CVE-2016-10033)。该漏洞源于类库未对用户输入进行有效过滤,导致远程攻击者可利用该漏洞在Web服务器中执行任意代码。
PHPMailer 5.2.20之前的版本中存在输入验证漏洞(CNNVD-201612-755,CVE-2016-10045)。该漏洞由于PHPMailer官方针对上述输入验证漏洞(CNNVD-201612-675,CVE-2016-10033)补丁中使用的过滤函数可被绕过,导致远程攻击者可利用该漏洞在Web服务器中执行任意代码。
(二)漏洞危害
远程未授权的攻击者可通过输入恶意构造的参数利用上述漏洞,在使用了该PHP类库的Web服务器中执行任意代码,可导致目标主机被完全控制。
(三)修复措施
目前,PHPMailer官方已针对上述漏洞发布了修复版本,请受影响的用户尽快升级至5.2.20及以上版本以消除漏洞影响。补丁获取链接:https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md
本通报由CNNVD技术支撑单位——北京白帽汇科技有限公司提供支持。
该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号

天下没有免费的午餐,一个新的弹出窗口可能会免费向您提供计算机的安全扫描,以发现病毒感染情况和未处理的漏洞。不要吃掉这诱饵!如果您允许这种类型的扫描,您可能会让不怀好意的家伙们访问您的个人信息。

猜您喜欢

强化保护和性能 梭子鱼更新Web安全网关产品
网络安全公益短片防范移动僵尸网络
安环人员眼中的最简单不过的EHS知识竟然可以这样宣传
司机毒驾疯狂逃窜 民警连开5枪将其制服
JANOG MRSBAGBYSKINDERGARTEN
NBC.com被黑事件让哪些安全技术蒙羞?

FBI网站被黑致数据泄露,Plone官方回应:我们的系统没有0day漏洞!

【新朋友】点击标题下面蓝字「皮鲁安全之家」关注
【老朋友】点击右上角,分享或收藏本页精彩内容
【公众号】搜索公众号:皮鲁安全之家,或者ID :piluwill
著名黑客CyberZeist最近入侵了FBI网站(FBI.gov),并将几个备份文件(acc_102016.bck,acc_112016.bck,old_acc16.bck等)公布在了Pastebin,数据内容包括姓名、SHA1加密密码、SHA1盐和电子邮件等。
CyberZeist这名黑客颇有名气,他曾是Anonymous的一员,2011年有过黑入FBI的经历。除此之外,巴克莱、特易购银行和MI5都曾是他手下的受害者。

入侵的具体时间是在2016年12月22日——CyberZeist利用Plone内容管理系统(CMS)的0-day漏洞侵入了FBI.gov。Plone的内容管理系统被认为是迄今为止最安全的CMS,很多高级部门使用这个CMS,其中就包括FBI。
CyberZeist解释说,他所利用的这个0-day不是他发现的,他只是想用FBI的网站测试一下这个漏洞,结果就成了。其他网站同样可能遭受相同的0-day攻击,比如说知识产权协调中心以及欧盟网络信息安全机构。
德国和俄罗斯的媒体相继报道了此次黑客入侵事件,而美国的许多主流媒体却刻意忽视了这件事。
FBI在得知了CyberZeist的入侵后,就立即指派安全专家展开修复工作,但是仍未修复Plone内容管理系统的0-day漏洞。CyberZeist发现了FBI的修复工作后,并发了一条具有嘲讽性质的的推特。
他对这条推特进行了补充:
我当然没有得到root权限(这明显嘛),但是我就是能知道他们在跑6.2版本的FreeBSD,这份数据最早可以追溯到2007年。他们最后的重启时间是2016年12月15日晚上6:32。
CyberZeist透露说:
这个0-day漏洞是他从tor网络上买到的,而卖家不敢侵入FBI.gov这种网站。现在已经停止出售,我会在推特上亲自放出这个0-day漏洞。
该漏洞目前仍存在于CMS的某些python模块中。
点击这里可以看到CyberZeist在Pastebin之上的动态。
后续更新Plone安全团队看到CyberZeist这样黑Plone的CMS系统,他们当然坐不住了。于是Plone发了一篇博客全盘否认了CyberZeist的“发现”。
“Plone的安全团队已经看到了CyberZeist的犯罪声明,并对此Plone进行了检测,事实证明‘FBI被黑’是一个骗局。无论是Plone还是在基于Plone的系统都不存在0-day漏洞。”
小编看到这篇博客的时候表情是这样的。哇,好足的底气。你这不光打了CyberZeist的脸,还留下一个懵逼的小编。让我们继续往下看。
Matthew Wilkes(Plone安全团队的成员)解释了为什么他们的团队认为‘FBI被黑’和‘Plone存在0-day漏洞’是骗局的原因。
原因一 ——版本不对Plone是用python语言写的且运行在Zone的上层。Zone是一个基于python的网页应用服务器。而在CyberZeist的推特中,他是这么写的“我当然没有得到root权限(这明显嘛),但是我就是能知道他们在跑6.2版本的FreeBSD”。你们造吗,FreeBSD 6.2只支持Python2.4和2.5版本,但是Plone并不能在这种老版本上跑。
原因二——哈希值、盐值不一致CyberZeist所泄露的数据的密码哈希值、盐值与Plone将生成的值不一致。这表明这些泄露的数据使在另一台服务器上批量生成的。值得一提的是,CyberZeist泄露的这些FBI邮箱在几年前就曾公之于众。(嘿嘿,就算FBI真的被黑了,也不是Plone的锅)
原因三——文件名称不符CyberZeist声称他在含有.bck扩展文件的网页服务器的中发现了备份文件里的登录信息。但是,Plone数据库备份系统不会生成含有.bck扩展名的文件,而且Plone生成的备份存储在web服务器目录之外。
Wilkes说:
“修改这种行为方式很难,而且对于他来说没有任何好处。”

被指性骚扰遭遇网络暴力后 星河创服COO选择辞职

原因四-截图有破绽CyberZeist在推特上上传的某些截图迫使FBI.gov暴露部分源代码。然而此类攻击通常是针对PHP应用程序的,对于没使用cgi-bin扩展类型的Python网站是不可能成功。
有一张截图显示的是邮件信息,这些信息很有可能是从FBI服务器的邮箱日志里提取的。
涉密网络通常与互联网进行了物理隔绝,针对涉密网络的攻击需要跳板,技术上得注意U盘,手机等移动设备接入涉密网络,更重要的是加强人员的安全意识教育。
“这很有可能是他自己的服务器日志,他虽然把这个服务器日志名称改得和FBI一样,但是却忘记把邮件显示的时区从印度标准时间到东部标准时间”
原因五-CyberZeist有“造假”前科没错,CyberZeist在这之前曾有“造假”记录。而伪造这次攻击的目的,可能是为了捞钱。FBI.gov作为一个使用Plone的知名网站,成功侵入它对于其他黑客来说具有很大的吸引力,很多黑客自然会到Tor网络上去买这个实际上不存在的0-day漏洞。要知道这个0-day的售价是8比特币,约9000美金。
在CyberZeist的“谣言”传出之前,Plone已经宣布了将在1月17日之前发布新的安全补丁,新的补丁与此次的0-day无关,旨在修复次要,低危的安全问题。
参看来源:http://securityaffairs.co/wordpress/55042/data-breach/fbi-hacked.html、http://www.networkworld.com/article/3155104/security/plone-dismisses-claim-that-flaw-in-its-cms-was-used-to-hack-fbi.html#tk.rss_all 来自Freebuf
之前的报道: FBI 网站被入侵,数据被公开后遭黑客嘲讽
近日,FBI 遭遇黑客打脸,不仅网站被黑,网站数据被直接公布在网上,而且入侵者还通过社交网络公开表达了自己略带嘲讽的“新年问候”。
据雷锋网了解,泄露出来的数据为网站的几个备份文件,目前已经被公布在Pastebin 网站上,其中包括FBI网站的用户名、电子邮件地址、经过SHA1算法加密后的密码以及加密用的盐值。
此次入侵者 CyberZeist 入侵的手法主要是利用了FBI 网站 所使用的 CMS 内容管理系统的一个零日漏洞,而这个名为 Plone 的系统被公认为有史以来最安全的CMS内容管理系统。
据悉,入侵者 CyberZeist 曾经是“匿名者”黑客组织 Anonymous 的一员,其本人在业界也可谓“臭名昭著”。2011年,他就曾经入侵过FBI的相关机构,除此之外,还黑过巴克莱、特易购银行以及 MI5(没错,就是 你在 特工007电影里看到的那个“军情五处”)
如何防范假冒WiFi热点
当雷锋网编辑尝试访问 CyberZeist 的推特时,他正在发起一个公开投票,让所有人来帮他确定下一个网络入侵的目标,里面有四个选项:政府组织、银行机构、军方、其他。
看到该页面,雷锋网编辑仿佛听到了 黑客 CyberZeist 内心的嘶吼:“还有谁!?”
然而,虽然 CyberZeist 是入侵者,但其入侵 FBI 时利用的零日漏洞并不是他自己发现的。CyberZeist 对外表示:
我并不是这个漏洞的发现者,只是拿着这个漏洞去FBI的网站试了一下,没想到居然成了!
CyberZeist 透露,该漏洞是他从匿名网络 Tor 上买来的,漏洞存在于 Plone 内容管理系统的某些 python 模块中,卖家并不敢利用该漏洞来入侵 FBI 的网站(但是他敢),目前已经停止出售。但 CyberZeist 表示自己之后会在推特上公布该漏洞。
FBI 在得知了 CyberZeist 的入侵消息后,立即指派安全专家展开修复工作,但目前 Plone 内容管理系统的 0-day 漏洞仍未被修复,对此 CyberZeist 还发布过一条具有嘲讽性质的的推特。
除此之外,CyberZeist 还对 FBI 在安全方面的疏忽表达了强烈不满,他表示,自己原本就是担心黑客利用该漏洞对FBI进行攻击,出于安全测试的目的才将在FBI网站上尝试,结果发现 FBI 的网站管理员犯下了一些低级错误,他们将大量备份文件直接暴露在同一台服务器上,最终导致CyberZeist 成功访问到这些文件。
此后,CyberZeist 又发布了一条消息,表示国际特赦组织的网站也收到此漏洞的影响,该消息得到了对方的证实。

银湖网接入“无忧存证” 全面升级数据安全

据雷锋网了解,只要该漏洞仍未被修复,所有使用该系统的网站都可能面临相同风险,其中包括欧盟网络信息与安全机构以及知识产权协调中心等等。
来自:雷锋网

国家互联网金融安全技术联盟在爱投资进行网络安全监测试点

回复
获得以下图文等信息
论坛
可进入微论坛畅谈
任意
官方机器人陪聊
首页
查看技术文档(逐步更新中)
留言
进入留言板
相册
国内外大牛真容
该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号

搞信息化时,首先要问问:是内部开发、外部采购,还是使用开源系统?它们各有利弊,除了根据现状做出最佳选择外,在后期的工作中如何扬长补短也是认真需要考虑和实践的。

猜您喜欢

安全人,这八个危机意识帮你绷紧弦!
再谈信息安全意识推广计划
企业安全意识之歌
河北邢台一对夫妻在拆迁工地纵火被抓
PIENSOYJUEGO JKLASKQW
年度安全会议上的老问题与新战略

安全漏洞与安全事件日报

天融信安全云服务中心
安全漏洞与安全事件日报
(2017-1-5)
最新安全漏洞漏洞标题:多款联想产品Transition程序安全漏洞提交时间:2017-01-03披露/发现时间:漏洞等级:高CVE-ID:CVE-2016-8227漏洞类别:程序安全漏洞CNNVD-ID:CNNVD-201612-825影响组件:Transition<=Windows 8.1 Edge 15;Flex2 14;Flex2 15;Flex2 14D;lex2 15D;Flex2 Pro15;Miix 2-10;Miix 2-11;Miix 3-1030;Yoga 11S;Yoga 13;Yoga 2-11;Yoga 2-13;Yoga 2 Pro漏洞描述:联想Transition是中国联想(Lenovo)公司的一套用来设定视频图片等在不同模式下是否自动全屏的程序。多款联想产品的Transition程序中存在安全漏洞。攻击者可利用该漏洞以管理权限或系统权限执行任意代码。以下产品和版本受到影响:基于Windows 8.1及之前版本的联想Edge 15;Flex2 14版本,Flex2 15版本;Flex2 14D版本,Flex2 15D版本;Flex2 Pro15版本;Miix 2-10版本,Miix 2-11版本;Miix 3-1030版本;Yoga 11S版本,Yoga 13版本;Yoga 2-11版本,Yoga 2-13版本,Yoga 2 Pro版本。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://support.lenovo.com/us/zh/product_security/LEN-12508
漏洞标题:Serendipity 输入验证漏洞提交时间:2017-01-03披露/发现时间:漏洞等级:高CVE-ID:CVE-2016-10082漏洞类别:输入验证漏洞CNNVD-ID:CNNVD-201612-833影响组件:Serendipity<=2.0.5漏洞描述:Serendipity是Serendipity团队开发的一套基于PHP的博客系统。该系统支持创建在线日记、博客、网页等。Serendipity 2.0.5及之前的版本中的include/functions_installer.inc.php文件存在安全漏洞,该漏洞源于程序没有过滤‘bType POST’参数。攻击者可利用该漏洞实施文件包含和代码执行攻击。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://github.com/s9y/Serendipity/commit/bba6a840f4d53cbaf62971a3078a98c8ddf92b85
漏洞标题:MetalGenix GeniXCMS SQL注入漏洞提交时间:2017-01-03披露/发现时间:漏洞等级:高CVE-ID:CVE-2016-10096漏洞类别:SQL注入漏洞CNNVD-ID:CNNVD-201701-001影响组件:MetalGenix GeniXCMS <1.0.0漏洞描述:MetalGenix GeniXCMS是印尼MetalGenix公司的一套基于PHP的内容管理系统和框架(CMSF),它提供用户管理、内容管理和菜单管理等模块。MetalGenix GeniXCMS 1.0.0之前的版本中的register.php文件存在SQL注入漏洞。远程攻击者可借助‘activation’参数利用该漏洞执行SQL命令。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://github.com/semplon/GeniXCMS/commit/d885eb20006099262c0278932b9f8aca3c1ac97f

全国检察机关涉密人员分类管理培训班结束

漏洞标题:Apache Wicket 安全漏洞提交时间:2017-01-03披露/发现时间:漏洞等级:中CVE-ID:CVE-2016-6793漏洞类别:远程拒绝服务漏洞CNNVD-ID:CNNVD-201612-824影响组件:Apache Wicket 6.x; Apache Wicket 1.5.x漏洞描述:Apache Wicket是美国阿帕奇(Apache)软件基金会的一套开源、轻量、基于组件的框架,它提供了一种面向对象的方式来开发基于Web的动态UI应用程序。Apache Wicket 6.x和1.5.x版本中存在远程拒绝服务漏洞。攻击者可利用该漏洞造成应用程序无限循环和消耗过多的CPU资源,导致拒绝服务。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://wicket.apache.org/news/2016/12/31/cve-2016-6793.html
漏洞标题:GStreamer Bad Plug-ins 安全漏洞提交时间:2017-01-03披露/发现时间:漏洞等级:中CVE-ID:CVE-2016-9812漏洞类别:拒绝服务漏洞CNNVD-ID:CNNVD-201612-826影响组件:GStreamer Bad Plug-ins漏洞描述:GStreamer是一套用于处理流媒体的框架。Bad Plug-ins是一个解码组件。GStreamer Bad Plug-ins中存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://github.com/GStreamer/gst-plugins-bad/commit/d58f668ece8795bddb3316832e1848c7b7cf38ac
安全资讯
黑客利用姓氏和旅客订座记录代码极易获取航班预订信息
现在有许多的旅游预订网站能为为旅行者提供最佳旅游线路推荐及详细旅游行程安排等。尽管这些网站帮用户节省了不少时间,但安全研究实验室(SR Labs)的最新一项研究表明,用户所依赖的这些系统并未受到很好地保护。这个问题并不来自旅游预订网站本身,而是用于管理大多数旅游预订的三大全球分销系统(GDS)——Amadeu、Sabre及Travelport。这项研究显示全球分销系统(GDS)的安全系数极低。
据外媒报道,安全研究人员Karsten Nohl 及 Nemanja Nikodijevic近日在第33届“骇客年会”Chaos Communication Congress上展示,黑客在掌握一名旅客姓氏的前提下,就能使用计算机在几小时内猜测出相关联的订票号,从而取得旅客出行信息。作为个人身份识别码的六位数代码旅客订座记录(PNR)的安全系数极低。
研究人员表示,用户自己无法保护这些代码 ,因为这种权限是由航空公司通过订票系统来分配的。PNR代码通常被打印在行李标签和登机牌上。黑客通过这一代码, 即可访问到完整的旅客信息。
目前研究人员已经通知三大GDS系统,并系统他们能尽快修复系统漏洞。

信息安全基础考题

谷歌发布安全项目Project Wycheproof,检测加密库常见安全漏洞
国家电网否认千万APP用户数据泄露:淘宝卖家被关店

美国政府:100%确定俄罗斯黑客曾经干扰美国大选
在大选开始以来,美国一直质疑俄罗斯,称其曾派出黑客干扰大选进程。
国际在线专稿:据美国有线电视新闻网(CNN)1月3日报道,美国国务院发言人约翰·科尔比(JohnKirby)日前表示,美国政府已经“百分之百确定俄罗斯黑客曾干扰美国总统大选”。
科尔比表示:“毫无疑问,俄罗斯的确在大选期间播撒了‘怀疑与混乱的种子’,并通过网络袭击干扰我们的大选进程。这不仅是奥巴马总统、国务卿克里或其他内阁成员的评估,也是来自整个情报界的结论。”

然而,美国候任总统唐纳德?特朗普则一直对类似评估表示质疑。2016年12月15日,特朗普曾发文称:“如果俄罗斯或其他实体发动网络袭击,为何白宫等了如此之久才做出反应?为何他们在希拉里输掉选举后才公布相关信息?”3天后,特朗普再次发文称:“除非你们当场逮到黑客,否则很难确定攻击者的身份,为何不在选举前公布这些信息?”
科尔比对此驳斥称:“证据是确凿的。我们之前只不过是在等待确认而已。我们现在百分百确定,俄罗斯黑客干扰了美国大选。”

(内容来源:CNNVD 补天 天融信安全云服务中心 阿尔法实验室等相关国内热门安全论坛)
微信扫一扫关注该公众号
零日漏洞越来越多,目标集中型的威胁渐增,让用户神经紧张,疲于奔命。

信息安全论坛ISF发布未来两年安全威胁态势预测,报告称传统的安全风险管理方法受到了挑战,不能只关注信息安全领域,而是要更多结合组织战略和使用基于业务影响的方法来进行风险管理。

猜您喜欢

长文,解析游戏设计中的色彩界定和意义营造
三星电子的KNOX安全技术难以满足企业BYOD控管需求
在线开放式EHS基础知识和理念培训班
女人千万别做这些让男人寒心的行为!
GAMESNEWGAMES BILLIGFLUEGE
金融保险行业信息安全意识视频培训

安全漏洞与安全事件日报

天融信安全云服务中心
安全漏洞与安全事件日报
(2017-01-04)
最新安全漏洞漏洞标题:SAP Hybris 跨站点脚本漏洞提交时间:2016-12-31披露/发现时间:漏洞等级:中CVE-ID:CVE-2016-6858漏洞类别:跨站点脚本漏洞CNNVD-ID:CNNVD-201610-860影响组件:SAP Hybris <5.0.4.11||5.1.0.x;<5.1.0.11||5.1.1.x;<5.1.1.12||5.2.0.x||5.3.0.x;<5.3.0.10||5.4.x;<5.4.0.9||5.5.0.x;<5.5.0.9||5.5.1.x;<5.5.1.10||5.6.x;<5.6.0.8||5.7.x;<5.7.0.9漏洞描述:SAP Hybris是德国思爱普(SAP)公司的一套电子商务和多渠道商务解决方案。SAP Hybris Management Console(HMC)是其中的一个企业级多渠道电子商务和产品内容管理(PCM)软件。SAP Hybris中的HMC的Create Employee功能存在跨站脚本漏洞。远程攻击者可借助Name字段利用该漏洞注入任意的Web脚本或HTML。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://www.sap.com/

漏洞标题:LibVNCServer 基于堆的缓冲区溢出漏洞提交时间:2016-12-31披露/发现时间:漏洞等级:中CVE-ID:CVE-2016-9942漏洞类别:缓冲区溢出漏洞CNNVD-ID:CNNVD-201612-839影响组件:LibVNCServer 0.9.11之前的版本漏洞描述:LibVNCServer是一个VNC服务器C类库,它可开发VNC服务器或VNC客户端。LibVNCServer 0.9.11之前的版本中LibVNCClient的ultra.c文件存在基于堆的缓冲区溢出漏洞。远程攻击者可借助特制的FramebufferUpdate消息利用该漏洞造成拒绝服务(应用程序崩溃)或执行任意代码。
安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://github.com/LibVNC/libvncserver/releases/tag/LibVNCServer-0.9.11

漏洞标题:GStreamer Bad Plug-ins 安全漏洞提交时间:2016-12-30披露/发现时间:漏洞等级:中CVE-ID:CVE-2016-9809漏洞类别:拒绝服务CNNVD-ID:CNNVD-201612-801影响组件:GStreamer Bad Plug-ins漏洞描述:GStreamer是一套用于处理流媒体的框架。Good Plug-ins是一个用于提高代码质量的组件。 GStreamer Bad Plug-ins中存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。
安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://cgit.freedesktop.org/gstreamer/gst-plugins-bad/commit/?id=1dbfef93d6aca245f1793f9b5348a9dbcd02be97
漏洞标题:Shutter 安全漏洞提交时间:2016-12-30披露/发现时间:漏洞等级:中CVE-ID:CVE-2015-0854漏洞类别:未授权的信息修改CNNVD-ID:CNNVD-201510-660影响组件:Shutter 0.93.1及之前的版本漏洞描述:Shutter是德国软件开发者Mario Kemper所研发的一套基于Linux系统的免费且开源的截图应用程序。该程序支持整个屏幕截图、特定区域截图等。Shutter 0.93.1及之前的版本中的App/HelperFunctions.pm文件存在安全漏洞。远程攻击者可借助特制的图像名称执行任意命令。
安全建议:目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:http://shutter-project.org/

漏洞标题:PHP 安全漏洞提交时间:2016-12-30披露/发现时间:漏洞等级:中CVE-ID:CVE-2016-7479漏洞类别:拒绝服务漏洞CNNVD-ID:CNNVD-201612-760影响组件:PHP 7.0至7.0.13版本版本漏洞描述:PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C++进行程序扩展等。 PHP 7.0至7.0.13版本版本中存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务(无限循环)。
安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://github.com/php/php-src/commit/bcd64a9bdd8afcf7f91a12e700d12d12eedc136b

安全资讯
美国国家科技委员会报告:为人工智能的未来做好准备
未来,人工智能(Artificial Intelligence, AI)将发挥越来越重要的作用。为了让美国有所准备,美国国家科技委员会调查了AI现状、现有和潜在应用、以及AI发展进程中引起的社会和公共政策问题。美国国家科技委员会还推荐联邦机构和其它机构采取进一步具体行动。配套文件“国家人工智能研究和发展战略计划”(请在本文末尾下载E安全提供的原版报告)阐述了美国联邦政府资助的AI研发战略计划。
AI服务公众
人工智能和机器学习的乐观面在于,它们能帮助解决某些具有挑战性和低效的状况来改善人们的生活质量。公共部门和私营部门对人工智能基础与应用研发的投资已经开始为公众带来巨大好处,包括医疗保健、交通、环境、刑事司法和经济融合等领域。政府的效率在逐渐提升,因为政府机构在培养能力通过AI更快、更灵敏、更高效地完成任务。
AI与监管
许多产品应用了AI,例如汽车和飞机,这些产品受到监管,以保护公众免受伤害,并确保经济竞争的公平性。将人工智能纳入这些产品将如何影响相关监管模式?一般而言,应通过评估纳入AI可能减少和增加的风险面了解监管AI驱动产品保护公共安全的方法。如果风险在现有监管制度范围内,政策讨论者应开始考虑现有监管措施是否已充分解决风险,或这些措施是否需要适应AI的融入。此外,如果对纳入AI的监管响应需增加合规成本,或减缓有利创新的开发或采用,决策者应考虑如何调整这些响应,以降低成本和创新壁垒,而不影响安全或市场公平性。
当前,AI驱动产品的监管挑战主要表现在自动化车辆(如自动驾驶车辆)和配置人工智能的无人机上。从长远来看,自动化车辆将可能通过减少司机失误,增加个人移动性拯救许多生命,而无人机将带来许多经济利益。然而必须保护公共安全。美国交通部(The Department of Transportation,DOT)正使用一种方法改进相关法规,其基础是在部门内构建专业知识,创造实验安全空间和试验台,并与行业和民间社会合作改进基于绩效的法规,使更多用途作为安全操作的证据累积。
研究与劳动力
政府通过研发和丰富技能、多样化劳动力增长来推动人工智能中扮演重要角色。单独的联邦政府资助AI研发战略计划与本报告一起发布。该计划讨论联邦政府研发角色,确定机会范围,并推荐方法协调研发将利益最大化,并培养训练有素的劳动力。
此外,考虑到AI的战略重要性,联邦政府应监控全球范围内该领域的发展动态,以便获得其它地方重要变化的早期预警,以防需要变更美国政策。
AI的快速发展极大增加了相关技能的人力需求,以支持并推进该领域发展。AI世界需要精通数据的公民读取、使用、解释和传达数据,并参与讨论人工智能影响的事件。联邦科学、技术、工程和数学(Federal Science, Technology, Engineering, and Mathematics,STEM)教育计划越来越重视AI知识和教育。AI教育还是全民计算机科学(Computer Science for All)的一部分,奥巴马启动的这项全民计算机科学计划旨在让所有美国学生从幼儿园到中学学习计算机科学,并掌握技术驱动世界所需的计算思维技能。
人工智能的经济影响
AI在短期内的经济效应是将以前无法自动化的任务自动化。这将可能提高生产力并创造财富,但也可能以不同的方式影响特定类型的工作,增加与AI相辅相成的其它技能, 同时减少某些特定技能的需求。白宫经济顾问委员会(White House Council of Economic Advisors,CEA)的分析表明,自动化对低工资职业产生的负面影响最大,并且人工智能驱动的自动化将可能拉大教育水平相差甚远的员工工资差距,从而潜在增加经济不平等性。公共政策可以解决这些风险,确保工作人员经过再培训,并能在自动化互补职业中有一番作为。公共政策还能确保AI创造的经济效益得到广泛共享,并确保AI迎来全球经济新时代。
公平、安全与管控
随着AI技术被广泛地部署,技术专家、政策分析师和伦理家对广泛采用AI出现的意外后果表示担忧。使用AI做有关人类的重要决策,经常会取代通过人为驱动官僚程序制定的决策,从而导致人们担心如何确保正义、公平和问责制——同样2014年美国总统行政办公室发布的《大数据:抓住机遇,保留价值》(Big Data:Seizing Opportunities,Preserving Values)的报告,以及《大数据与隐私报告》中被提出。透明度不仅涉及数据和算法,还可能以某种形式解释基于AI的决定。然而,AI专家警告称,试图理解并预测先进AI系统的过程中存在固有挑战。
使用AI控制物理设备引发对安全的担忧,尤其当系统暴露在极为复杂的人类环境时。AI安全的巨大挑战在于构建系统,从实验室的“封闭世界”过渡到外部的“开放世界”(不可能预测的事情可能会发生)。适度适应不可预见的情形很难,但却是安全操作所必需的步骤。构建其它类型安全关键系统和基础设施(例如飞机、发电厂、桥梁和车辆)的经验可以让AI从业人员了解验证与确认,如何构建技术的安全案例,如何管理风险,以及如何与风险利益相关者沟通。
联华超市遭永辉超市悉售2.4亿股内资股

中移新乡铁通提高节日网络安全防范力度确保设备稳定运行

从技术层面讲,公平挑战与安全挑战息息相关。在这两种情况下,从业人员努力避免意外行为,并生成所需证据,使利益相关者有理由相信不可能发生意外的失败。

为何NSA敢断定是俄罗斯黑客入侵了DNC?背后故事令人恐惊

对AI从业者和学生进行伦理培训是该解决方案的必要组成部分。理想情况下,每个学习AI、计算机科学或数据科学的学生将会接触与伦理和安全话题相关的课程与讨论。然而,仅仅学习伦理学远远不够。伦理学可以帮助从业者理解利益相关者的职责,但伦理培训应借助技术工具和方法,通过防止意外结果必需的技术工作,将良好意愿付诸实践。
全球考量与安全
AI在国家关系和安全领域引出政策问题。近年来,AI一直是国际讨论中的热门话题,因为各国、多边机构和其它利益相关者开始体验人工智能的好处与挑战。这些实体之间的对话与合作有助于推进AI研发,并永久驾驭AI,同时解决共同的挑战。
如今,AI应用在网络安全领域发挥着重要的作用,预计AI将对防御和进攻网络措施发挥更大的作用。目前,通过设计与操作保护系统安全需花费专家大量的时间和精力。将这项工作自动化可能以较低的成本强化大量系统和应用程序的安全,并提高国家网络防御的敏捷性。
在武器系统中潜在使用AI会引起挑战性问题。几十年来,美国在某些武器系统融入自主权,使武器使用更精准、更安全、并实施更人道的军事行动。然而,完全放弃人为控制武器系统存在风险,这可能引发法律和道德问题。
将自主和半自主武器系统纳入美国国防计划的关键在于,确保美国政府实体按照国际人道主义法行事,采取适当的措施控制武器扩散,并与合作伙伴和同盟国合作制定开发和使用这类武器系统的相关标准。美国积极参与致命自主武器系统的国际讨论,并期望持续参与这些潜在武器系统的国际讨论。美国政府机构正在努力制定一项符合国际人道主义法的自主与半自主武器政府政策。
为AI未来做准备
如果行业、民间社会、政府和公众共同支持AI技术发展,慎重考虑AI潜力并管理风险,AI可能会是经济发展与社会进步的巨大驱动力。
对重要问题展开讨论,并帮助制定公开讨论议程;可以监控应用安全与公平,制定、采用监管框架,鼓励创新,并保护公众;可以提供公共政策工具确保AI工作方式与方法提高生产力,同时避免对某些劳动力部门造成不利的经济后果;还能支持AI基本研究,并将AI应用至公益事业;支持开发技能强的多样化劳动力。许多公共政策领域(从教育和经济安全网到国防、环境保护和行事司法)将会面临AI持续发展驱动的新机会和新挑战,美国政府必须继续培养能力理解并适应这些变化。
随着AI技术的持续发展,从业者必须确保AI系统是可控的、开放的、透明的、可理解的;可以与人有效协作,其操作将与人类价值观和愿望保持一致。研究人员和从业者已经在逐渐关注这些挑战,并应持续关注。
开发并研究机器智能可以帮助我们更好地理解人类智能。若经深思熟虑后加以利用,AI可以增强我们的智慧,帮助我们绘制更美好的光明未来。

美国特种作战司令部11G明文员工数据被泄
据国外媒体报道,美国政府承包商泄露了美国特种作战司令部(Special OperationsCommand,SOCOM)医疗专业人员的姓名、地址、社保号和薪资。
泄露的数据库为11Gb,均为明文,且可公开访问,其中还包含至少2名特种部队专家(经绝密忠诚调查)的姓名和地址;以及心理学家和其它SOCOM医疗工作人员的工资标准、住处和住宅。
MacKeeper的研究人员Chris Vickery发现了这起数据泄露事件,并报告给了Protomac医疗解决方案(Protomac Healthcare Solutions)公司。
Vickery表示,Protomac公司已经解决泄露事件,但起初似乎并未严肃对待。
他表示,“目前尚不清楚,为什么可通过Potomac的IP地址访问未受保护的远程同步服务?当我打电话向该公司其中一位首席执行官报告该事件时,他似乎并不太在意。花费一个多小时联系IT人员关闭远程同步进程竟花费一个多小时,不应该。”
Vickery打电话给一位美国政府部门的联系人,通知Protomac Healthcare Solutions数据泄露事件。其后30分钟,文件被撤下线。
即使我们在信息安全防御体系上进行了相当多的工作,仍然不可能100%避免出现安全事故,所以我们未雨绸缪,建立灾难恢复体系,以便在出现严重安全意外事故后,能正确迅速地进行响应,降低损失和恢复业务的正常运作。

Vickery表示,“不难想象好莱坞电影出现类似的情形,其结果会导致某人被绑架勒索。希望我是唯一获取该信息的局外人。”
泄露的数据还包括Protomac Healthcare Solutions的财务和会计信息。

一次网络中断或丢失数据可能会造成你的严重亏损

(内容来源:CNNVD 补天 天融信安全云服务中心 阿尔法实验室等相关国内热门安全论坛)
微信扫一扫关注该公众号

让这些移动设备的终端使用者能够拥有基本的移动设备和无线网络安全意识,可以帮助填补安全技术控管的空缺或薄弱之处。

猜您喜欢

互联网经济冲击信息安全管理咨询服务
网络信息安全小调
网络安全公益短片从电话欠费及涉嫌洗钱开始的骗局
习近平2016足迹
AURISMAGNETIC CADWIS
地铁机场的无线安全使用

CNNVD最新漏洞(2017-01-03)

今日CNNVD共发布安全漏洞20个,更新安全漏洞8个。新增安全漏洞信息如下表所示:
典型安全漏洞实例:

多款联想产品Transition程序安全漏洞CNNVD-201612-825(CVE-2016-8227)
联想Transition是中国联想(Lenovo)公司的一套用来设定视频图片等在不同模式下是否自动全屏的程序。
多款联想产品的Transition程序中存在安全漏洞。攻击者可利用该漏洞以管理权限或系统权限执行任意代码。以下产品和版本受到影响:基于Windows 8.1及之前版本的联想Edge 15;Flex2 14版本,Flex2 15版本;Flex2 14D版本,Flex2 15D版本;Flex2 Pro15版本;Miix 2-10版本,Miix 2-11版本;Miix 3-1030版本;Yoga 11S版本,Yoga 13版本;Yoga 2-11版本,Yoga 2-13版本,Yoga 2 Pro版本。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://support.lenovo.com/us/zh/product_security/LEN-12508
IBM Security AppScan Source信息泄露漏洞CNNVD-201612-828(CVE-2016-3035)
IBM AppScan Source是美国IBM公司的一款专为iPhone和iPad推出的安全扫描器。
多家公司发布无线安全战略,安全需要共建,手机用户对网络信息安全方面的需求主要为防骚扰、防泄漏、防扣费、防毒和防盗。
IBM AppScan Source 9.0.3.5版本、9.0.2版本和9.0.1版本中存在安全漏洞。攻击者可利用该漏洞获取敏感信息。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21987325
Serendipity 输入验证漏洞CNNVD-201612-833(CVE-2016-10082)
Pivotal Software MySQL for PCF是美国Pivotal Software公司的一款用于PCF实现了企业级数据库管理和配置的服务。
Serendipity 2.0.5及之前的版本中的include/functions_installer.inc.php文件存在安全漏洞,该漏洞源于程序没有过滤‘bType POST’参数。攻击者可利用该漏洞实施文件包含和代码执行攻击。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://github.com/s9y/Serendipity/commit/bba6a840f4d53cbaf62971a3078a98c8ddf92b85
Linux kernel 安全漏洞CNNVD-201612-837(CVE-2016-10088)
Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。
Linux kernel 4.9及之前的版本中的sg实现过程存在安全漏洞,该漏洞源于在设定KERNEL_DS选项时程序没有正确的限制写入操作。本地攻击者可通过访问/dev/sg设备利用该漏洞读取或写入任意的内核内存位置或造成拒绝服务(释放后重用)。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

文思海辉”Operation Eyes”荣获Expedia 黑客马拉松大赛全球第四…

公用事业行业重点关注:《电力中长期交易基本规则(暂行)》印发,规…
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=128394eff343fc6d2f32172f03e24829539c5835
国家信息安全漏洞库(CNNVD)将每天发布最新漏洞信息,更多内容请登录官方网站:
http://www.cnnvd.org.cn/cnnvdid

PwnFest黑客大赛四大亮点前瞻

该文章作者已设置需关注才可以留言

为防黑客入侵 美药管局发布上市后医疗设备网络安全指南

微信扫一扫关注该公众号

实施信息化工作外包的公司,应制定完备的外包服务管理制度,将外包纳入全面风险管理体系,合理审慎实施外包。

猜您喜欢

食品安全示范店建设圆满完成
信息安全素养快速小贴士
网络安全宣传周公益教育动画APT高级持续威胁
男子朋友圈980元/斤叫卖境外熊掌 买卖双方或触刑
KIJIJIFORBUSINESS LOWVISIONMN
防泄密在线课程