网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】思科 VPN 服务器遭黑客入侵

2020-05-31 09:30 推荐: 浏览: 43 views 字号:

摘要: ——更多安全资讯和情报,可关注微信公众号:安全帮—— 1. Apache Kylin远程代码执行漏洞披露 5月28日,Apache Kylin官方发布安全公告,披露了一个Apache Kylin远程代码执行漏洞。或验证的情况下执行任何os命令。Apache K...

——更多安全资讯和情报,可关注微信公众号:安全帮——

1. Apache Kylin远程代码执行漏洞披露

5月28日,Apache Kylin官方发布安全公告,披露了一个Apache Kylin远程代码执行漏洞。或验证的情况下执行任何os命令。Apache Kylin是一个开源的,分布式的分析型数据仓库,提供Hadoop之上的SQL查询接口和多维分析(OLAP)能力,以支持超大规模数据,最初由eBay Inc.开发并贡献至开源社区。官方发布的最新版本已经修复了此突破,请反对的用户下载最新版本。

参考来源:

https://nosec.org/home/detail/4467.html

 

2. 思科 VPN 服务器遭黑客入侵

思科披露六台用于提供 VPN 服务的服务器遭黑客入侵,攻击者利用了 4 月底公开的 Salt 组件漏洞。思科的VIRL-PE和 Cisco Modeling Labs Corporate Edition 都整合了 Salt 管理框架,而 Salt 在四月底披露了两个高危漏洞——目录遍历和身份验证绕过,两个漏洞组合允许未经授权访问整个服务器文件系统。思科在 5 月 7 日部署服务器时没有整合补丁,当日其服务器遭黑客入侵。

参考来源:

https://www.solidot.org/story?sid=64512

 

3. 出于安全考虑 OpenSSH宣布放弃对SHA-1认证方案的支持

OpenSSH是最受欢迎的连接和管理远程服务器实用工具之一,近日团队宣布计划放弃对SHA-1认证方案的支持。OpenSSH在公告中引用了SHA-1散列算法中存在的安全问题,被业内认为是不安全的。该算法在2017年2月被谷歌密码学专家破解,可利用SHAttered技术将两个不同文件拥有相同的SHA-1文件签名。不过当时创建一个SHA-1碰撞被认为需要非常昂贵的计算成本。

参考来源:

https://www.cnbeta.com/articles/tech/984693.htm

 

4.NSA警告:俄黑客组织Sandworm渗入MTA Exim已有数月时间

本周,美国国安局警告公众,俄罗斯军方网络行为者至少已经利用一个版本的电子邮件软件长达数月之久。据悉,这个受影响的邮件系统是用于基于Unix的系统的MTA软件--Exim mail。该软件默认安装在许多Linux发行版中。据了解,漏洞代码为CVE-2019-10149,其允许远程攻击者在知道该漏洞的情况下执行他们选择的命令和代码。

参考来源:

https://www.cnbeta.com/articles/tech/985009.htm

 

5. Clearview AI 因未经授权收集人像数据而遭到起诉

鉴于伊利诺伊州率先在美启用了有关生物特征测定的隐私保护法律,ACLU 已将未经授权收集人像数据的 Clearview AI 公司告上了法庭。据悉,Clearview AI 涉及在几个月的时间里,从互联网上收集了超过 30 亿张人脸照片。根据周四公布的消息,本次诉讼的共同发起者还包括伊利诺伊公共利益研究小组、以及芝加哥的反性剥削联盟。

参考来源:

http://hackernews.cc/archives/30770

 

6. 为防受邮件漏洞影响 德国BSI敦促iPhone用户尽快安装安全更新

据外媒报道,德国联邦安全局(BSI)敦促iPhone用户尽快安装苹果发布的最新安全更新以解决邮件应用中存在的一个关键漏洞。据悉,这一安全漏洞由网络安全组织ZecOps发现,据信从3.1.3开始的所有版本的iOS操作系统都在受影响范围内。这意味着最新一代的iPhone也很容易受到攻击。攻击者可以通过该漏洞访问用户邮件应用中的内容。

参考来源:

http://hackernews.cc/archives/30740

 

7. 美国密歇根州立大学遭勒索软件团伙袭击

近日,NetWalker(Mailto)勒索软件操纵者宣布,他们已经感染了密歇根州立大学(MSU)的网络,勒索软件团伙给了MSU管理员一周的时间来支付未披露的赎金要求来解密他们的文件。如果密歇根州立大学的官员拒绝付款或选择从备份中恢复,这个勒索软件团伙准备在该组织在暗网上运营的一个特殊网站上泄露从该校网络窃取的文件。

参考来源:

https://www.easyaq.com/fastinfo

联系站长租广告位!

中国首席信息安全官