思科產品出現嚴重漏洞,導致大量設備面臨遠程攻擊風險
內容提要:
1.思科產品出現嚴重漏洞,導致大量設備面臨遠程攻擊風險
2.Django錯誤配置導致Secret API Key泄露、資料庫密碼泄露
3.蘋果修補了產品線上的數十個漏洞
4.西弗吉尼亞州使用區塊鏈讓軍方人員進行遠程投票
5.用加密貨幣對抗垃圾郵件也許並不是個好主意
6.GNOME Shell 內存泄露問題正在修復中,原因竟是忘記進行垃圾回收
7.捷克將被指控入侵 LinkedIn 的黑客引渡到美國
8.俄政府撥款 5200 萬美元發展數字經濟
9.GitHub 安全警告計劃已檢測出 400 多萬個漏洞
1.思科產品出現嚴重漏洞,導致大量設備面臨遠程攻擊風險思科在其IOS軟體中修補了30多個漏洞,其中包括一個嚴重的遠程代碼執行漏洞,該漏洞可以對數十萬甚至數百萬台設備暴露在網路上的設備發起的遠程攻擊。共有三個漏洞被評為關鍵。其中之一是CVE-2018-0171,Embedi的研究人員在IOS和IOS XE軟體的Smart Install功能中發現了這個漏洞。沒有許可權的攻擊者可以將特定的Smart Install消息發送到TCP埠4786上的受影響設備,並導致其進入拒絕服務(DoS)狀況或執行任意代碼。思科指出,默認情況下,Smart Install在交換機上默認啟用,如果接收到了最近的更新則會在不使用該功能時自動禁用該功能。Embedi發布了詳細介紹CVE-2018-0171的博客文章。研究人員最初認為,該漏洞只能被同網路中的黑客利用。但是,互聯網掃描發現,大約有250,000個易受攻擊的思科設備打開了TCP埠4786。此外,Embedi已經識別出約850萬台使用此埠的設備,但研究人員無法確定這些系統上是否存在Smart Install功能。2.Django錯誤配置導致Secret API Key泄露、資料庫密碼泄露錯誤配置的Django應用程序會暴露諸如API密鑰,伺服器密碼或AWS訪問憑證之類的敏感信息。巴西安全研究人員FábioCastro表示:應用程序開發人員忘記禁用Django應用程序的調試模式。Django是一個非常強大且可自定義的Python框架,通常用於創建基於Python的Web應用程序和應用程序後端。研究人員通過搜索發現,網上很多應用程序的調試模式暴露了極其敏感的信息,這些信息能讓黑客完全訪問應用程序所有者的數據。數據的敏感程度與Django應用程序的複雜程度有關。3.蘋果修補了產品線上的數十個漏洞蘋果本周發布了一套新的安全補丁,解決影響macOS,iOS,watchOS和tvOS以及Windows軟體的數十個漏洞。周四發布的iOS 11.3修正了40多個安全漏洞。這些漏洞會影響iPhone 5s及更高版本、iPad Air及更高版本以及iPod touch第6代。WebKit受到的影響最大,共解決了19個漏洞。CoreFoundation、CoreText、文件系統事件、iCloud Drive、內核、郵件、PluginKit,Safari,安全和存儲等組件也受到影響。利用這些漏洞可能會讓黑客能在有漏洞的設備上運行任意代碼,在惡意應用程序中提權,用戶界面欺騙,數據泄露,攔截加密電子郵件內容,拒絕服務,鍵盤記錄,禁用功能,或者讓設備重新啟動。4.西弗吉尼亞州使用區塊鏈讓軍方人員進行遠程投票西弗吉尼亞州國務卿辦公室剛剛宣布,該州將測試一項新的試點計劃,允許海外軍人通過手機投票。現役軍事人員將能夠通過基於區塊鏈的應用程序使用其國家 ID 進行投票。根據國務卿的說法,該項目的目標是提供和管理一個安全的軍事移動投票解決方案,該解決方案與現有的移動投票系統相比,可以驗證,透明,更安全,更方便。5.用加密貨幣對抗垃圾郵件也許並不是個好主意據外媒報道,隨著越來越多數據泄露事件的發生並最終導致曝光郵箱 ID,電子郵件垃圾信息正開始不斷變成一種威脅。對此,許多公司開始尋找解決方案,其中一個較為流行的就是向那些不知來歷的郵件提供回應。6.GNOME Shell 內存泄露問題正在修復中,原因竟是忘記進行垃圾回收GNOME Shell 被發現存在內存泄露的問題,現在官方開發團隊已確認導致這個問題的原因 —— 忘記進行垃圾回收…… GNOME 稱目前正在修復該問題。「觸發垃圾回收能夠將 GNOME Shell 使用的內存量減少到正常水平」 GNOME 開發者花了大約一周的時間來定位問題的根源,不過內存泄漏的原因(看起來)已經確定。7.捷克將被指控入侵 LinkedIn 的黑客引渡到美國一名俄羅斯男子被指控在 2012 年策劃入侵 LinkedIn、Dropbox 和 Springform 系統,現在捷克決定將這名黑客引渡到美國。美國司法部於 2016 年起訴 Yevgeniy Nikulin 非法入侵計算機等,盜取了數百萬用戶的賬戶和密碼。Nikulin 於 2016年 10 月在布拉格被捕。8.俄政府撥款 5200 萬美元發展數字經濟俄羅斯政府網站 發布公告稱,總理梅德韋傑夫日前簽署一項命令,要求從政府儲備基金中撥款約 30 億盧布(約合 5200 萬美元)用於發展本國數字經濟。公告稱,梅德韋傑夫要求從政府儲備基金向「俄羅斯聯邦數字經濟」這一國家優先發展計劃撥款 30.4 億盧布。9.GitHub 安全警告計劃已檢測出 400 多萬個漏洞Github 去年推出的安全警告,極大減少了開發人員消除 Ruby 和 JavaScript 項目漏洞的時間。GitHub 安全警告服務,可以搜索依賴尋找已知漏洞然後通過開發者,以便幫助開發者儘可能快的打上補丁修復漏洞,消除有漏洞的依賴或者轉到安全版本。
