BUF早餐鋪 | WordPress對執行過期PHP版本的網站發出警告;Secure Copy
各位Buffer早上好,今天是2019年1月17日星期四。今天的早餐鋪內容有:WordPress 對執行過期 PHP 版本的網站發出警告;Secure Copy Protocol 曝出有 36 年曆史的漏洞;美SEC資料庫遭入侵 犯罪分子非法牟利410萬美元;紐約隱私法案強制企業披露消費者資料使用情況;建築工地上的大型機械裝置容易被黑客控制;vCard處理程序存在漏洞,微軟表示4月份將修復。
以下請看詳細內容:
WordPress 對執行過期 PHP 版本的網站發出警告
開源內容管理系統 WordPress 釋出新安全舉措,如果網站仍然執行舊的 PHP 版本,將在管理面板顯示警告。WordPress 在初期階段對版本號低於 5.6.x(5.6 或更低)的版本顯示警告,警告會包含一條 WordPress 支援頁的連結,提醒網站管理員如何更新 PHP 版本。WordPress 是最流行的內容管理系統,大約四分之一的網站執行的是 WordPress。而 66.7% 的網站仍然執行已經終止支援的 PHP 版本。[來源:zdnet]
Secure Copy Protocol 曝出有 36 年曆史的漏洞
安全研究人員公佈了 Secure Copy Protocol(SCP)的五個漏洞,其根源可追溯到 1983 年,至今有 35 年曆史。漏洞影響 OpenSSH scp、PuTTY PSCP 和 WinSCP,其中 WinSCP 已經修復。漏洞允許惡意 SCP 伺服器悄悄的纂改客戶端機器上的任意檔案。安全研究人員解釋說,SCP 基於的 RCP 允許伺服器控制傳送的檔案,如果沒有仔細核查客戶端最終下載的檔案可能與使用者想要的檔案不同,攻擊者可以覆寫使用者的 .bash_aliases 檔案,在使用者執行例行操作如羅列目錄時攻擊者可以執行任意命令。[來源: solidot]
美SEC資料庫遭入侵 犯罪分子非法牟利410萬美元
在當地時間星期二舉行的新聞釋出會上,新澤西州檢察官克萊格·卡蓬尼託(Craig Carpenito)、SEC、美國聯邦調查局和美國特勤局聯合公佈了一起國際股票交易犯罪活動,犯罪分子入侵了美國證券交易委員會(以下簡稱“SEC”)的EDGAR企業檔案系統,並利用內幕資訊非法牟利410萬美元。據路透社稱,犯罪團伙利用獲得的非公開資訊進行股票交易,從美國、俄羅斯和烏克蘭非法牟利410萬美元。犯罪分子獲得了157份企業財報,其中部分財報是“測試文件”。[來源:cnbeta]
紐約隱私法案強制企業披露消費者資料使用情況
紐約近日修訂了通用商務法律,增加了一個名為“2019知情權法案”(S00224)的議案,規定消費者有權知曉個人資訊被企業蒐集的情況以及披露給第三方的使用情況。此外,這項新規定還強調企業之間共享消費者資訊的過程要透明化。法令規定,隱私權是基本人權,受到美國憲法保護,各企業應當遵守法律。此外,法令也詳細列舉了企業在何種情況下應當披露消費者資料使用以及披露的具體條目。這堪稱資料保護立法領域的一項新進展。[來源:bleepingcomputer]
建築工地上的大型機械裝置容易被黑客控制
趨勢科技(Trend Micro)的兩名研究人員近日演示瞭如何成功入侵併控制建築工地上的起重機進行各種任務。實驗表示,當施工現場唯一能控制起重機的發射器關閉後,起重機處於“停止”狀態。但是安全專家通過膝上型電腦、一些無線電硬體、特製的攻擊指令碼就能成功控制起重機,不僅開動起來而且還能進行起重作業。如果黑客利用這種方式完全可以肆意破壞建築工地。這主要是因為這些機械裝置使用的RF通訊協議存在漏洞。Saga、Juuko、Telecrane、Hetronic等多款裝置都受到影響。[來源:securityaffairs]
vCard處理程序存在漏洞,微軟表示4月份將修復