头条:CNIL向谷歌罚款5000万欧元

TOP5

1月23日全球信安资讯

1

Linux APT包管理器存严重缺陷

>>>>

信源:securityaffairs

独立安全顾问Max Justicz在几个Linux发行版(包括Debian和Ubuntu)使用的APT包管理器中发现了一个远程执行代码漏洞。

该缺陷编号为CVE-2019-3462,影响软件包管理器版本0.8.15及更高版本,它可能被MiTM位置的攻击者利用,以在机器上以root身份执行任意代码并安装任何软件包。

发现者在个人博客上表示:“我在apt中发现了一个漏洞,它允许网络中间人(或恶意包镜像)在安装任何软件包的机器上以root身份执行任意代码。该错误已在最新版本的apt中修复。如果您担心在更新过程中被利用,可以通过在更新时禁用HTTP重定向来保护自己。“

在HTTP重定向期间,APT的易受攻击版本无法清理某些参数,而远程中间人攻击者可能会注入恶意内容并欺骗系统安装受污染的软件包。

使用apt-get命令时,HTTP重定向允许Linux系统在其他人不可用时自动从镜像服务器请求包。当第一台服务器无法提供包时,它会通过提供下一个合适的服务器来响应。

“处理HTTP传输方法中HTTP重定向的代码无法正确清理通过线路传输的字段。攻击者可以使用此漏洞作为APT和镜像之间的中间人,在HTTP连接中注入恶意内容。专家发布了一个视频PoC,显示攻击者拦截APT包管理器与镜像服务器或恶意镜像之间的HTTP流量,并用恶意包替换合法包。

2

Adobe修复信息泄露XSS漏洞

>>>>

信源:bleepingcomputer

Adobe发布了Experience Manager和Experience Manager Forms的安全更新,以解决可能导致信息泄露的缺陷。

这些更新解决了一个反映的跨站点脚本漏洞评级为中等,一个存储的跨站点脚本漏洞评级为“重要”,可能导致敏感信息泄露。

Adobe还在Experience Manager Forms中解决了存储的XSS漏洞,该漏洞由安全研究人员Adam Willard发现。

“Adobe已发布Adobe Experience Manager Forms的安全更新。这些更新解决了存储的跨站点脚本漏洞,该漏洞被评为重要,可能导致敏感信息泄露。“

3

在线赌场大量泄漏用户数据

>>>>

信源:bleepingcomputer

在线赌场的赌客数据被发现未受保护,其中包含1.08亿投注信息和用户详细信息

泄露的数据包括个人信息和支付卡详细信息,包括真实姓名,家庭住址,电话号码,电子邮件地址,出生日期,网站用户名,帐户余额,IP地址,浏览器和操作系统详细信息,上次登录信息以及已播放游戏列表,存款和取款。

根据ZDNet首先报道的消息,数据存储在没有密码的在线公开的ElasticSearch服务器中。

ElasticSearch实例通常安装在内部网络上,但有时配置错误的系统会在线公开。

泄露的数据是由安全研究人员Justin Paine发现的,他发现了一个显然来自在线投注门户网站的无保护ElasticSearch服务器。

“尽管是一台服务器,ElasticSearch实例处理了大量信息,这些信息是从多个网络域聚合而来的,很可能来自某种联盟计划,或者是一家运营多个博彩门户的大公司。”ZDNet表示。

“在对服务器数据中发现的URL进行分析后,Paine和ZDNet得出结论,所有域名都在运行在线赌场,用户可以在经典卡片和老虎机游戏中投注,还可以投注其他非标准投注游戏。”

数据泄露中存在的所有域都属于在线赌场(即

kahunacasino.com,azur-casino.com,easybet.com和viproomcasino.net),其中一些不是标准的投注游戏。

参与数据泄露的所有公司都位于塞浦路斯利马索尔的同一栋大楼内,或者在库拉索岛政府颁发的相同电子许可证号下运营,这种情况表明它们是由同一实体运营的。

据该专家称,这个庞大的档案馆并未包含完整的财务细节,但ZDNet指出,任何发现该数据库的人都会知道最近赢得大笔资金的玩家的个人信息,并可能利用这些资料对这些人进行恶意活动。用户,包括诈骗或敲诈勒索。

4

CNIL向谷歌罚款5000万欧元

>>>>

信源:bleepingcomputer

2019年1月21日,CNIL的限制委员会根据通用数据保护条例(GDPR)对GOOGLE LLC公司判处5000万欧元的罚款,因为缺乏透明度,信息不足以及缺乏有效的同意。广告个性化。

法国监管机构进行的调查始于非营利组织无业务(NOYB)和La Quadrature du Net(LQDN)对谷歌的两起投诉。

这两个组织都在5月份对Facebook提起诉讼。

CNIL谴责谷歌违反欧盟GDPR下的透明度和同意规则,搜索引擎巨头使其用户难以找到和管理数据处理目的,数据保留的偏好,特别是有针对性的广告。

谷歌故意在太多文件中传播这些信息,访问它们需要多达6个单独的行动。

无论如何,CNIL确认这些信息“并不总是清晰也不全面”。

“用户无法完全理解谷歌处理操作的程度,”委员会说。 “同样,传达的信息不够清晰,以便用户可以理解广告个性化处理操作的法律依据是同意而不是公司的合法利益。”

5

暗网三名毒贩获刑43年

>>>>

信源:securityweek

三家暗网毒贩被判处合计超过43年刑期,罪名是为全球数百名客户提供臭名昭着的阿片类芬太尼。

Jake Levene,22岁,Lee Childs,45岁,Mandy Christopher Lowther,21岁,上周在Leeds Crown Court因承认出口和供应A类毒品而被判刑。

根据国家犯罪署(NCA)的说法,该组织在利兹的一个工业部门将芬太尼及其类似的卡芬太尼与填充剂混合,然后在名为“UKBargins”的Alpha Bay等网站上出售。

目前还不清楚他们是如何被绳之以法的,尽管这三人在2017年4月被捕,距离Alpha Bay和Hansa被淘汰不到三个月。当警方突击搜查该单位时,发现一台笔记本电脑在Alpha Bay上展示了UKBargins商店。

Childs在邮政局发送给全球客户邮寄数百包药品,包括远至澳大利亚,阿根廷和新加坡。

据称,在2016年12月至2017年4月期间,三家公司已售出163,474英镑 - 向全球443家客户销售2853件产品,其中包括英国的172家。

据NCA报道,在突袭行动中,回收了2.6公斤的卡芬太尼,包括一包440克纯的卡芬太尼,这是欧洲同类产品中最大的一种。

据说该药物的效力是吗啡的10,000倍,而芬太尼的强度则高达10倍。两者都与近年来无数人死亡有关。

“芬太尼和卡芬太尼非常有效,后者对人类没有医疗用途。这些药物不仅对服用它的人具有潜在致命性,对所有与他们接触的人构成严重危险,如执法人员和医务人员,或者在这种情况下是邮政人员,“NCA高级人员说。

声 明

本文内容由国外媒体发布,不代表聚锋实验室立场和观点。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190123B0MO3H00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券