标签: 安全漏洞

Riddle 漏洞影响 MySQL 客户端软件,MiTM 攻击可致登陆凭证被窃

据外媒 15 日报道,安全专家于 2 月在 Oracle 数据库管理系统( DBMS )MySQL 中发现一个被命名为 Riddle 的编码漏洞,允许攻击者利用 MiTM 攻击窃取用户名与密码。目前,该漏洞仍影响 Oracle MySQL 客户端软件。 MiTM 攻击(Man-in-the-MiddleAttack)是一种“ 间接 ”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“ 中间人 ”。(百度百科) 编号为CVE-2017-3305 的 Riddle 是 Oracle MySQL 5.5 – 5.6 版本客户端中的关键安全漏洞,攻击者可在用户登陆凭证发送至服务器时进行捕获。安全专家表示,MySQL 5.5 – 5.6 客户端目前尚无更新程序可修复这一漏洞,但 5.7 及更高版本或 MariaDB 系统不受漏洞影响。 安全研究员 PaliRohár 表示,他们曾试图利用影响 MySQL 数据库 Backronym 漏洞的修补方法修复 Riddle,但结果以失败告终。Backronym 漏洞允许攻击者执行 MiTM 攻击窃取密码,即使流量已被加密。 PaliRohár 补充解释, MySQL 5.5.49 – 5.6.30 稳定版的安全更新,主要包括验证完成后添加安全参数的验证。因为验证完成后,MiTM 攻击与 SSL 降级攻击可使攻击者窃取登录数据进行身份验证、并登录 MySQL 服务器。可笑的是,当 MySQL 服务器拒绝验证用户时,客户端并不报告任何与 SSL 问题相关的错误,而是报告服务器发送未加密的错误信息。此外,当行 MiTM 攻击处于活跃状态时,错误信息可由攻击者控制。 对此,安全专家建议用户尽快将客户端软件更新至 MySQL 5.7 或 MariaDB 版本,以避免可能遭遇的安全问题。 原作者: Pierluigi Paganini,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Splunk 修复安全漏洞:诱导用户访问恶意网站,泄露个人信息

据外媒 3 日报道,Splunk 已修复 JavaScript 代码中存在的安全漏洞,该漏洞被编号为 CVE-2017-5607 ,允许攻击者诱导已完成身份验证的用户访问恶意网页、泄露个人信息。 Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据 。(百度百科) 无论用户是否启用远程访问功能,该漏洞都会泄漏用户的登录名称,并允许攻击者使用网络钓鱼攻击方式定位用户位置、窃取用户凭据。 调查表明,该漏洞源自 Splunk 于 Object 原型在 Java 中的使用方式。专家发布 Poc 概念验证: <script> Object.defineProperty(Object.prototype,“$ C”,{set:function(val){ // prompt(“Splunk Timed out:\ nPlease Login to Splunk \ nUsername: ”+ val.USERNAME,“Password” ) for(var i in val){ alert(“”+ i +“”+ val [i]); } } }); </ script> 受影响的 Splunk Enterprise 版本为: 6.5.x 当中 6.5.3 之前的各类版本; 6.4.x 当中 6.4.6 之前的各类版本; 6.3.x 当中 6.3.10 之前的各类版本; 6.2.x 当中 6.2.13.1 之前各类版本; 6.1.x 当中 6.1.13 之前的各类版本; 6.0.x 当中 6.0.14 之前的各类版本; 5.0.x 当中 5.0.18 之前的各类版本; 以及 Splunk Light  6.5.2 之前的各类版本。 目前,该公司已针对出现漏洞的全部版本发布修复补丁。 原作者:Pierluigi Paganini, 译者:青楚      本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

WhatsApp 和 Telegram 安全漏洞可使“亿万”用户遭受黑客攻击

据 Check Point 的安全专家介绍,近日他们从 WhatsApp 和 Telegram 的桌面版本中发现了一个安全漏洞。该漏洞影响了各种类型的 Web 浏览器,允许攻击者盗取用户的个人信息,并可通过桌面程序发送和接收消息。 WhatsApp 和 Telegram 是现今非常安全可靠的通信应用程序。安全公司表示,此次事件揭露 了 WhatsApp 和 Telegram 存在漏洞的证据。据外媒报道,这两家公司也很快作出了回应,他们现今已经修复程序,用户只需重新启动浏览器即可更新。移动设备的用户则不必担心,该漏洞只针对桌面版本的浏览器服务。 WhatsApp 和 Telegram 平台以提供端到端的加密方式而闻名,有助于防止不必要的窥探。然而,此次事件的发生是由于消息先被加密而未经过验证,WhatsApp 和 Telegram 平台没有及时确认,导致最终无法阻止恶意内容的传送。 Check Point 研究主管 Oded Vanunu 补充说, WhatsApp 和 Telegram 平台在第一时间解决了此次事件,并提醒用户及时更新系统的版本,降低信息泄露的风险。 原作者: Jason Murdock,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

“阅后即焚”加密通信软件 Confide 存多个漏洞,暴露用户隐私信息

加密通讯软件 Confide 显然不像它声称的那么安全,安全公司 IOActive 经过测试发现了一系列安全漏洞可窃取数据、接管账号。 Confide 是一种聊天不留痕迹的军工级通讯工具,采用端到端加密技术,消息在读取后便会消失,而且可以防止截图。美国现任总统特朗普的工作人员也正在使用这种号称加密、阅后即焚的软件 。 根据 IOActive 的报告,confide 安全漏洞可被攻击者利用劫持帐户、窃取敏感信息。从 2 月 22 日到 24 日之间,研究员获得了超过 7000 个帐户近百万条聊天记录。 攻击者通过漏洞还可进行以下操作: 1、通过劫持帐户会话来模拟其他用户 2、通过猜测密码来模拟其他用户 3、窃取特定 Confide 用户的联系方式(即真实姓名、电子邮件地址和电话号码) 4、无需解密即可修改传输中的邮件或附件的内容 5、发送格式错误的信息将到导致程序崩溃 Confide  官方于 3 月 2 日 发布更新修复了主要漏洞。3 月 8 日 Confide 对外公布了事件详情。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

全球 20 万 Wi-Fi 摄像头现远程代码执行漏洞,可组建僵尸网络

研究人员 Pierre Kim 透露全球有超过 185000 个连接 Wi-Fi 的摄像机暴露在互联网上易受到黑客攻击。 设备主要受到以下漏洞影响: 后门账户 RSA 密钥和认证 GoAhead http 服务器导致的预授权信息泄漏(凭证) 认证 RCE 远程代码执行漏洞 预授权 RCE 远程代码执行漏洞 研究员进行全网扫描发现存在 199956 个结果,这意味黑客可利用这些漏洞接管这些设备组建庞大的僵尸网络。 这些摄像机设备用于配置 FTP 的 CGI 脚本受到 2015 年发现的一个远程代码执行漏洞影响,允许攻击者以 root 身份运行命令或启动无密码的 Telnet 服务器。此外由于设备固件默认启用云能力并预先进行配置与 AWS 、阿里巴巴和百度进行连接,即使攻击者不知道凭证也可以通过 UDP 通道建立连接绕过防火墙。 研究员已经将分析报告发布到 GitHub 上,包括概念验证代码。 原作者: Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ESET 杀毒软件 Mac 版急需更新,高危漏洞可致执行任意代码

谷歌安全研究员发现,Mac 版本 ESET 杀毒软件存在高危漏洞  CVE-2016-9892 。攻击者可利用拦截 ESET 杀毒软件数据包,并以 XML 解释器漏洞发动中间人攻击,在 Mac 上获取 root 权限远程执行任意代码。目前,ESET 已有补丁更新。 这一漏洞与名为 esets_daemon 的服务有关,该服务能够以 root 用户身份运行,并且和一个老旧版本的 POCO XML 解析器以静态方式对接。旧版本解析器 POCO 1.4.6p1 于 2013 年 3 月发布并存在已被公开的漏洞( CVE-2016-0718 ),可允许攻击者通过恶意 XML 内容执行任意代码。 当杀毒软件 ESET Endpoint Antivirus 运行时, esets_daemon 服务将向 https://edf.eset.com/edf 发送请求,攻击者可以发动中间人攻击使用自签名 HTTPS 证书拦截请求,并通过伪造证书控制连接,从而利用漏洞以 Root 权限执行恶意 XML 代码。 谷歌研究员于 2016 年 11 月 3 日提交了漏洞,ESET 在 2 月 21 日修复了漏洞并发布升级更新 6.4.168.0 版本。因此安装了 ESET Endpoint Antivirus 6 的 Mac 用户应尽快升级至最新版本,避免被攻击者利用。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

F5 BIG-IP 产品存漏洞“ Ticketbleed ”,暴露近千网站 HTTPS 加密连接

据外媒报道,F5 BIG-IP 网络设备中存在软件漏洞,至少有 949 个全球排名前 100 万的网站受到影响,可泄露经 HTTPS 加密连接的敏感数据。 使用修改版本的 zgrab 对互联网进行扫描发现的受影响网站。 F5 BIG-IP 是一种网络,通过管理进入的 Web 数据流量和增加有效的网络带宽,从而使网络访问者获得尽可能最佳的联网体验的硬件设备。 该漏洞被称为 Ticketbleed ( CVE-2016-9244 ),存在于 F5 BIG-IP 设备的 TLS / SSL 堆栈中,允许远程攻击者一次提取高达 31 字节的未初始化内存。攻击者可向站点发送特制的数据包,获取连接 Web 服务器内存中的小块数据。风险在于,攻击者可多次执行此操作,从而获取加密密钥或其他用于保护终端用户与站点会话而建立的 HTTPS 连接。 该漏洞与“心脏出血( heartbleed )”漏洞有相似的地方,它们都利用安全传输层协议( TLS )中的漏洞破坏加密连接的安全性、获取到随机未初始化的内存数据。它们间也存在差异,Ticketbleed 只影响其专有的 F5 TLS 堆栈,而 “心脏出血”漏洞影响的是开源 OpenSSL ,此外,Ticketbleed 漏洞获得的内存块更小( 31 个字节),这需要等多“努力”来利用这个特性。 修复解决方案 受影响版本的完整列表可在 F5 网站上找到。目前,并非所有版本都有可用的升级更新。 对于部分版本可通过禁用 Session Tickets 解决,但这会导致恢复连接的性能下降。 F5 提供的操作方法: 1. 登录到配置实用程序 2. 在菜单上导航到本地流量>配置文件> SSL >客户端 3. 将配置的选项从基本切换到高级 4. 取消选中的 Session Ticket 选项,以禁用该功能 5. 单击更新以保存更改 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ISC 修复 BIND 域名系统严重漏洞,可导致服务崩溃

互联网软件系统联盟( ISC )本周修复了 BIND 域名系统,解决了一个可被远程利用导致系统崩溃的严重漏洞。 DNS64 是配合 NAT64 实现 IPv4 – IPv6 互访的关键部件,主要功能是合成和维护 AAAA 记录( AAAA record ),从而转化 IPv4 地址便于 IPv6 客户端接收。 应答策略区域( RPZ )机制用于域名系统递归解析器处理特定域名信息。 该漏洞( CVE-2017-3135 )发生在服务器同时使用 DNS64 和 RPZ 功能时,由于某些配置问题将导致重写查询响应不一致,引发 INSIST assertion 失败或尝试读取 NULL 指针。在大多数平台上,读取 NULL 指针将导致分段错误( segmentation fault )、进程终止。 受影响的版本 9.8.8 9.9.3-S1 -> 9.9.9-S7 9.9.3 -> 9.9.9-P5 9.9.10b1 9.10.0 -> 9.10.4-P5 9.10.5b1 9.11.0 -> 9.11.0-P2 9.11.1b1 解决方法 从配置中删除 DNS64 或 RPZ 作为解决方法。 最安全的措施还是更新 BIND 升级到当前最新版本(下载链接)。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国 FDA 正式警告:植入起搏器和心血管仪器存严重安全性问题

美国食品和药物管理局( FDA )近日发出警告:确认心血管设备生产商圣犹达医疗( St Jude Medical )的部分产品存在网络安全性问题,其生产的特定型号起搏器和心血管仪器产品极易被黑客侵入。此前信息安全研究员工也早已警告此类情况,在去年九月 FDA  曾计划彻查心血管设备生产商 St Jude 的产品安全性问题。而现在是首个由 FDA 发出的正式警告,这或将对圣裘德医疗的股价产生极大影响。 FDA 指出,脉冲发生器/起搏器可以被经过恶意修改的 St Jude 自家的数据传输器 Merlin@home 入侵,Merlin@home 适用于兼容的 St. Jude Medical 植入式脉冲发生器的患者,可从植入的脉冲发生器中读取数据,并将数据发送到医院可从中进行查看的服务器上。但是数据非常容易被篡改,恶意代码容易引起植入的脉冲发生器中止工作,危及患者生命。 FDA 提醒所有使用 Merlin@home 数据传输器和兼容植入式脉冲发生器的患者立即联网进行固件更新。 稿源:cnbeta,有删改,封面来源:百度搜索

美国联邦贸易委员会起诉 D-Link 销售不安全的路由器和摄像头

美国联邦贸易委员会( FTC )周四向旧金山联邦法院起诉(PDF)台湾友讯科技( D-Link ),FTC 指控 D-Link 的路由器和网络摄像头让数以千计的消费者面临被黑客攻击的风险。FTC 在起诉书中称,被告屡次未能采取合理的软件测试和防治措施保护路由器和网络摄像头免受已知的容易预防的安全漏洞,如硬编码用户凭证等后门、以及命令注入漏洞,这些漏洞允许远程攻击者控制消费者的设备。FTC 还指控 D-Link 以明文的方式储存用户登录凭证。 稿源:solidot 奇客,有修改;封面来源:百度搜索