首页 > 清静研究 > 清静转达 > 清静简讯

Nagios XI远程下令执行误差（CVE-2019-20197）；针对FPGA-CPU混淆平台的JackHammer攻击

宣布时间 2020-01-03

1.全球8.15亿智能扬声器中有一半使用户隐私面临危害

耀世娱乐-科技赋能场景,让娱乐更有趣。

国际数据公司（IDC）举行的一项视察显示，在全球运营的8.15亿个智能扬声器中，险些有一半正在威胁用户的隐私。这是IDC对全球8.15亿个智能扬声器、监控摄像头以及其他智能装备（例如智能电视）举行研究时发明的。一个更有趣的发明是，这些装备大大都都是作为礼物出售的。若是用户妄想使用这些装备，建议他们按办法操作以最洪流平地降低其窃听能力。受影响的装备类型可能包括智能扬声器或智能手表、清静摄像头或保姆摄像头、智能门锁、智能电视以及智能玩具。

原文链接：

https://www.cybersecurity-insiders.com/half-of-the-global-815-million-smart-speakers-are-putting-users-privacy-at-risk/

2.研究职员演示针对FPGA-CPU混淆平台的JackHammer攻击

耀世娱乐-科技赋能场景,让娱乐更有趣。

在2019年12月31日宣布的一篇新论文中，一群美国和德国学者演示了怎样使用现场可编程门阵列（FPGA）卡来提倡更快和更可靠的JackHammer攻击。FPGA是可以添加到盘算机系统（台式机或服务器）的附加卡，近年来FPGA已经成为云盘算情形中的一种常见产品，阿里云和AWS均可为客户提供基于FPGA的服务器实例，微软还致力于在Azure内部集成基于FPGA的手艺。研究职员发明当从用户设置的FPGA中启动攻击代码时，与从CPU攻击相比可以更有用地引起位翻转并以更快的速率举行操作，这是由于FPGA卡直接毗连随处置惩罚器的总线，从而可以直接不受限制地会见CPU缓存和RAM存储器，别的FPGA不必处置惩罚固件和OS软件，从而使其运行代码的速率比通俗CPU更快。WolfSSL在12月20日宣布的4.3.0版本中包括了一个误差（CVE-2019-19962）的修复程序，用于避免缓和解JackHammer攻击。

原文链接：

https://www.zdnet.com/article/fpga-cards-can-be-abused-for-faster-and-more-reliable-rowhammer-attacks/

3.餐饮娱乐公司Landry熏染恶意软件，客户支付信息泄露

耀世娱乐-科技赋能场景,让娱乐更有趣。

美国餐饮、住宿及娱乐公司Landry通知客户其支付卡数据可能在清静事务中泄露。凭证其网站上宣布的通知，该公司体现恶意软件主要从其酒吧和饭店网络支付卡数据。该事务爆发在2019年3月13日到2019年10月17日时代，有63个酒吧和餐厅品牌受到影响。Landry体现在2016年爆发支付卡泄露事务之后，他们实验了一种清静解决计划，通过端到端加密来隐藏客户的支付卡数据。但该清静功效仅适用于PoS终端，对酒吧和餐厅的订单输入系统没有影响。Landry体现事务的缘故原由可能是服务员过失地在订单输入系统上刷了客户的支付卡，因此该公司以为只有少数用户受到影响。

原文链接：

https://www.tripwire.com/state-of-security/security-data-protection/landrys-notifies-customers-of-payment-card-incident/

4.科罗拉多州奥罗拉市水务部分泄露部分客户隐私信息

耀世娱乐-科技赋能场景,让娱乐更有趣。

科罗拉多州奥罗拉市水务部分称部分客户的小我私家信息可能因数据泄露而受到损害，受影响的客户为在2019年8月30日至10月14日时代使用Click2Gov支付系统举行一次性付款或设置按期付款的客户。凭证该市的视察，未经授权的攻击者修改了Click2Gov软件的一段盘算机代码，用于窃取姓名、账单地址、支付卡类型、支付卡号、验证码以及到期日期等信息，但不包括社会清静号码或政府揭晓的ID号码。该市水务部分已经启用了一个名为Paymentus的新支付系统并正在完全过渡到该新系统，该系统没有受到影响。

原文链接：

https://www.9news.com/article/news/local/aurora-water-data-breach/73-4a717e74-9827-4a05-bab9-25782737dda6

5.Big Monitoring Fabric宣布清静更新，修复两个误差

耀世娱乐-科技赋能场景,让娱乐更有趣。

Big Monitoring Fabric应用程序修复了两个高危误差，包括XSS误差（CVE-2019-19632）和敏感信息泄露误差（CVE-2019-19631）。由Big Switch Networks开发的Big Monitoring Fabric是一种混淆的云可见性和清静性解决计划，旨在为客户提供通过单个仪表板监视物理、虚拟和云情形的能力。第一个XSS误差位于/login页面中，它允许未经身份验证的攻击者在登录历程中提交JavaScript XSS有用内容作为用户名，从而获得对Big Monitoring Fabric应用程序的管剖析见以及对受影响系统的SSH控制台会见。第二个误差允许低权限只读用户获得管理权限，并通过SSH控制台会见受影响的系统，详细来说，只读或管理员组中的用户可以通过API /api/v1/export会见SSH RSA私钥和有用的用户会话cookie（包括管理员的cookie）。

原文链接：

https://www.securityweek.com/high-risk-vulnerabilities-addressed-big-monitoring-fabric

6.Nagios XI远程下令执行误差（CVE-2019-20197）

耀世娱乐-科技赋能场景,让娱乐更有趣。

Nagios XI是美国Nagios公司的一套IT基础设施监控解决计划。该计划支持对应用、服务、操作系统等举行监控和预警。@Cody Sixteen在Twitter宣布了有关Nagios XI远程下令执行误差（CVE-2019-20197）的相关信息，该误差影响了Nagios XI 5.6.9版本，经由身份验证的用户可以通过向schedulereport.php文件发送带有shell元字符的‘id’参数，在Web服务器用户帐户的上下文中执行恣意操作系统下令。现在厂商暂未宣布修复步伐。

原文链接：

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201912-1534

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

耀世娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系耀世娱乐

清静研究

Nagios XI远程下令执行误差（CVE-2019-20197）；针对FPGA-CPU混淆平台的JackHammer攻击

关于耀世娱乐

解决计划

清静研究

联系耀世娱乐

7*24小时服务热线

软件升级

投资者关系

清静研究

Nagios XI远程下令执行误差（CVE-2019-20197） ；针对FPGA-CPU混淆平台的JackHammer攻击

7*24小时服务热线

Nagios XI远程下令执行误差（CVE-2019-20197）；针对FPGA-CPU混淆平台的JackHammer攻击