首页 > 清静研究 > 清静转达 > 清静简讯

PCI SSC宣布非接触式支付的新数据清静标准；Linux误差（CVE-2019-14899）可导致攻击者挟制VPN

宣布时间 2019-12-06

1.OpenBSD团队修复4个身份验证绕过/提权误差

尊龙凯时·(中国区)人生就是搏!

OpenBSD团队修复了4个可导致特权升级和身份验证绕过的清静误差，Qualys Research Labs在本周早些时间发明并报告了这些误差，OpenBSD开发团队在40个小时之内宣布了针对OpenBSD 6.5和OpenBSD 6.6的修复补丁。误差规模包括身份验证绕过（CVE-2019-19521）和特权升级（CVE-2019-19519、CVE-2019-19520和CVE-2019-19520）。Qualys研究职员还在每个误差的咨询通告中宣布了相关PoC使用。

原文链接：

https://www.zdnet.com/article/openbsd-patches-severe-authentication-bypass-privilege-escalation-vulnerabilities/

2.Ubuntu宣布Intel微码更新，修复CPU挂起问题

尊龙凯时·(中国区)人生就是搏!

Canonical为Ubuntu宣布了新的Linux Intel微代码更新，该更新修复了导致Intel Skylake CPU在热重启后挂起的问题。之前11月12日的Intel微代码更新中缓解了事务同步扩展（TSX）功效中的误差和至强处置惩罚器中的DoS误差，但该更新导致了一个回归误差：Intel Skylake处置惩罚器在热重启后挂起。为解决此问题，Ubuntu团队宣布了新的intel-microcode-3.20191115.1ubuntu0更新，该更新可还原Skylake处置惩罚器的微代码，使其不再挂起。Ubuntu用户可以运行Software Updater程序来检查并装置最新更新。

原文链接：

https://www.bleepingcomputer.com/news/linux/ubuntu-linux-gets-intel-microcode-update-to-fix-cpu-hangs/

3.美国数据中心折务商CyrusOne受勒索软件攻击

尊龙凯时·(中国区)人生就是搏!

美国数据中心折务商CyrusOne遭到勒索软件攻击，该公司讲话人在一封电子邮件中证实了这一事务，并体现他们现在正在与执法机构和法证公司相助举行视察以伎帐助客户恢复受影响的系统。CyrusOne体现由于勒索软件对网络中的某些装备举行加密，导致位于纽约数据中心的六个托管服务客户遇到了可用性问题，其中包括金融和经纪公司FIA Tech。凭证ZDNet收到的新闻，该事务爆发在12月4号，并且是由勒索软件REvil（Sodinokibi）引起的。

原文链接：

https://www.zdnet.com/article/ransomware-attack-hits-major-us-data-center-provider/

4.伊朗APT组织使用数据擦除器ZeroCleare瞄准中东

尊龙凯时·(中国区)人生就是搏!

IBM研究职员发明一个新的破损性数据擦除恶意软件ZeroCleare，该软件被国家资助的黑客组织在野外用于针对中东的能源和工业组织。研究职员称ZeroCleare与两个伊朗APT组织有关，一个是APT34（也被称为ITG13和Oilrig），另一个是Hive0081（也被称为xHunt）。ZeroCleare是多阶段攻击中的最终payload，它有两个变体，划分针对32位和64位的Windows系统。但研究职员体现只有32位的版本可用，由于64位版本在现实最先擦除数据之前会瓦解。研究职员还称ZeroCleare攻击是针对特定部分和组织的针对性行动。

原文链接：

https://www.bleepingcomputer.com/news/security/new-iranian-zerocleare-data-wiper-malware-used-in-targeted-attacks/

5.PCI SSC宣布非接触式支付的新数据清静标准

尊龙凯时·(中国区)人生就是搏!

PCI清静标准委员会（PCI SSC）宣布了用于非接触式支付的新数据清静标准。该标准允许带有NFC的COTS移动装备接受非接触式支付。PCI CPoC标准是该委员会为解决移动非接触式支付宣布的第二个标准。详细来说，PCI CPoC标准划定了供应商在�；な荨⒉馐砸蠛推拦澜饩黾苹矫娴囊恍┣寰采系囊�。标准的CPoC解决计划包括具有嵌入式NFC接口的COTS装备、履历证的付款软件以及自力于COTS装备的后端系统。

原文链接：

https://cyware.com/news/new-data-security-standards-published-for-contactless-payments-12566cb1

6.Linux误差（CVE-2019-14899）可导致攻击者挟制VPN

尊龙凯时·(中国区)人生就是搏!

清静研究职员披露了一个影响*NIX装备的清静误差，该误差可允许攻击者嗅探、挟制和改动VPN隧道毗连，并将恣意有用载荷注入IPv4和IPv6的TCP数据流中。该误差（CVE-2019-14899）位于基于Unix操作系统的网络客栈中，更详细地说，在操作系统对意外的网络数据包探测举行响应的历程中。已知该误差会影响大大都Linux刊行版和类Unix操作系统，包括FreeBSD、OpenBSD、macOS、iOS和Android。研究职员称此攻击可针对OpenVPN、WireGuard和IKEv2/IPSec等VPN手艺，但仍在测试其针对Tor的可行性。服务器治理员可以接纳的缓解步伐包括翻开反向路径过滤、使用bogon过滤虚伪IP地点或使用加密的数据包巨细和准时等。

原文链接：

https://www.bleepingcomputer.com/news/security/new-linux-vulnerability-lets-attackers-hijack-vpn-connections/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

PCI SSC宣布非接触式支付的新数据清静标准；Linux误差（CVE-2019-14899）可导致攻击者挟制VPN

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线

软件升级

投资者关系

清静研究

PCI SSC宣布非接触式支付的新数据清静标准；Linux误差（CVE-2019-14899）可导致攻击者挟制VPN

7*24小时服务热线

PCI SSC宣布非接触式支付的新数据清静标准；Linux误差（CVE-2019-14899）可导致攻击者挟制VPN