首页 > 安全钻研 > 安全传递 > 安全简讯

PCI SSC颁布非接触式支付的新数据安全尺度；Linux缝隙（CVE-2019-14899）可导致攻击者劫持VPN

颁布功夫 2019-12-06

1.OpenBSD团队建复4个身份验证绕过/提权缝隙

GA黄金甲·(中国区)官方网站

OpenBSD团队建复了4个可导致特权升级和身份验证绕过的安全缝隙，Qualys Research Labs在本周早些时辰发现并汇报了这些缝隙，OpenBSD开发团队在40个幼时之内颁布了针对OpenBSD 6.5和OpenBSD 6.6的建复补丁。缝隙领域蕴含身份验证绕过（CVE-2019-19521）和特权升级（CVE-2019-19519、CVE-2019-19520和CVE-2019-19520）。Qualys钻研人员还在每个缝隙的征询布告中颁布了有关PoC利用。

原文链接：

https://www.zdnet.com/article/openbsd-patches-severe-authentication-bypass-privilege-escalation-vulnerabilities/

2.Ubuntu颁布Intel微码更新，建复CPU挂起问题

GA黄金甲·(中国区)官方网站

Canonical为Ubuntu颁布了新的Linux Intel微代码更新，该更新建复了导致Intel Skylake CPU在热沉启后挂起的问题。之前11月12日的Intel微代码更新中缓解了事务同步扩大（TSX）职能中的缝隙和至强处置器中的DoS缝隙，但该更新导致了一个回归缝隙：Intel Skylake处置器在热沉启后挂起。为解决此问题，Ubuntu团队颁布了新的intel-microcode-3.20191115.1ubuntu0更新，该更新可还原Skylake处置器的微代码，使其不再挂起。Ubuntu用户能够运行Software Updater法式来查抄并装置最新更新。

原文链接：

https://www.bleepingcomputer.com/news/linux/ubuntu-linux-gets-intel-microcode-update-to-fix-cpu-hangs/

3.美国数据中心服务商CyrusOne受勒索软件攻击

GA黄金甲·(中国区)官方网站

美国数据中心服务商CyrusOne遭到勒索软件攻击，该公司讲话人在一封电子邮件中证实了这一事务，并暗示他们目前在与法律机构和法证公司合作进行调查以及援手客户复原受影响的系统。CyrusOne暗示由于勒索软件对网络中的某些设备进行加密，导致位于纽约数据中心的六个托管服务客户遇到了可用性问题，其中蕴含金融和经纪公司FIA Tech。凭据ZDNet收到的新闻，该事务产生在12月4号，并且是由勒索软件REvil（Sodinokibi）引起的。

原文链接：

https://www.zdnet.com/article/ransomware-attack-hits-major-us-data-center-provider/

4.伊朗APT组织利用数据擦除器ZeroCleare对准中东

GA黄金甲·(中国区)官方网站

IBM钻研人员发现一个新的粉碎性数据擦除恶意软件ZeroCleare，该软件被国度赞助的黑客组织在野表用于针对中东的能源和工业组织。钻研人员称ZeroCleare与两个伊朗APT组织有关，一个是APT34（也被称为ITG13和Oilrig），另一个是Hive0081（也被称为xHunt）。ZeroCleare是多阶段攻击中的最终payload，它有两个变体，别离针对32位和64位的Windows系统。但钻研人员暗示只有32位的版本可用，由于64位版本在现实起头擦除数据之前会崩溃。钻研人员还称ZeroCleare攻击是针对特定部门和组织的针对性行动。

原文链接：

https://www.bleepingcomputer.com/news/security/new-iranian-zerocleare-data-wiper-malware-used-in-targeted-attacks/

5.PCI SSC颁布非接触式支付的新数据安全尺度

GA黄金甲·(中国区)官方网站

PCI安全尺度委员会（PCI SSC）颁布了用于非接触式支付的新数据安全尺度。该尺度允许带有NFC的COTS移动设备接受非接触式支付。PCI CPoC尺度是该委员会为解决移动非接触式支付颁布的第二个尺度。具体来说，PCI CPoC尺度划定了供给商在�；な荨⒉馐砸蠛推拦澜饩龉婊矫娴囊恍┌踩系囊�。尺度的CPoC解决规划蕴含拥有嵌入式NFC接口的COTS设备、经验证的付款软件以及独立于COTS设备的后端系统。

原文链接：

https://cyware.com/news/new-data-security-standards-published-for-contactless-payments-12566cb1

6.Linux缝隙（CVE-2019-14899）可导致攻击者劫持VPN

GA黄金甲·(中国区)官方网站

安全钻研人员披露了一个影响*NIX设备的安全缝隙，该缝隙可允许攻击者嗅探、劫持和篡改VPN隧路衔接，并将肆意有效载荷注入IPv4和IPv6的TCP数据流中。该缝隙（CVE-2019-14899）位于基于Unix操作系统的网络仓库中，更具体地说，在操作系统对意表的网络数据包探测进行响应的过程中。已知该缝隙会影响大无数Linux刊行版和类Unix操作系统，蕴含FreeBSD、OpenBSD、macOS、iOS和Android。钻研人员称此攻击可针对OpenVPN、WireGuard和IKEv2/IPSec等VPN技术，但仍在测试其针对Tor的可行性。服务器治理员能够选取的缓解措施蕴含打开反向蹊径过滤、使用bogon过滤虚伪IP地址或使用加密的数据包大幼和按时等。

原文链接：

https://www.bleepingcomputer.com/news/security/new-linux-vulnerability-lets-attackers-hijack-vpn-connections/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

PCI SSC颁布非接触式支付的新数据安全尺度；Linux缝隙（CVE-2019-14899）可导致攻击者劫持VPN

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

PCI SSC颁布非接触式支付的新数据安全尺度；Linux缝隙（CVE-2019-14899）可导致攻击者劫持VPN

7*24幼时服务热线

PCI SSC颁布非接触式支付的新数据安全尺度；Linux缝隙（CVE-2019-14899）可导致攻击者劫持VPN