《维他命》每日安全简讯20180927

发布时间 2018-09-27

【安全漏洞】研究人员披露Linux内核中的新提权漏洞,CentOS、Debian和Red Hat均受影响


Qualys安全研究人员发现Linux内核中的一个新漏洞,该漏洞(CVE-2018-14634)是一个整数溢出漏洞,可允许非特权用户获得目标系统上的超级用户权限。该本地提权漏洞影响了2007年7月至2017年7月期间的所有内核版本,Red Hat、CentOS和Debian都受影响。研究人员将该漏洞命名为Mutagen Astronomy,并发布了相关PoC。


https://thehackernews.com/2018/09/linux-kernel-vulnerability.html


【分析报告】思科发布SMB网络安全报告,超过一半的企业曾遭受数据泄露


9月26日思科发布中小型企业(SMB)网络安全报告,该报告的数据是基于来自26个国家的1816个中小型企业。该报告分析了SMB面临的安全风险并提供了相应的安全建议。根据该报告,53%的受访企业曾遭受数据泄露,这些数据泄露事件通常会对公司的财务状况产生长久的影响,包括收入、客户以及商业机会的损失,以及数据泄露后的恢复成本。


https://www.cisco.com/c/dam/en/us/products/collateral/security/small-mighty-threat.pdf


【分析报告】McAfee发布2018年Q2威胁报告,重点关注挖矿攻击、区块链及移动安全


McAfee Labs发布2018年第二季度的威胁报告,报告中重点关注了挖矿攻击、区块链以及移动威胁等。威胁趋势的一个重要的转变是,恶意挖矿攻击仍在增长,但传统的勒索软件攻击正在减少。勒索软件攻击变得越来越有针对性。虽然勒索软件样本的总数已经连续两个季度下降,但仍有一个家族(Scarab)在继续产生新的变种。对云环境的保护也是一个挑战。


https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-sep-2018.pdf


【分析报告】Verizon发布2018年支付安全报告,六年来企业对PCI DSS的合规性首次下降


根据Verizon的2018年支付安全报告(PSR),六年来全球企业对支付卡行业数据安全标准(PCI DSS)的合规性首次下降。Verizon已连续六年(从2012年至2017年)跟踪支付合规性的改善状况,根据该公司最新的报告,2017年52.5%的受访企业完全满足PCI DSS合规性,而在2016年这一数字为55.4%。Verizon表示这一趋势变化令人担忧。


https://www.helpnetsecurity.com/2018/09/26/pci-dss-compliance-drop/


【数据泄露】在线新闻网站NewsNow遭到黑客攻击,部分用户的哈希密码泄露


在线新闻网站NewsNow通过电子邮件向用户通知其遭受数据泄露,部分用户的哈希密码受到影响。该公司在部分服务器上发现后门恶意软件,此问题目前已得到修复。NewsNow解释称用户的密码都是加密存储的,并且该公司没有存储用户的任何敏感信息(如支付信息等)。建议用户尽快修改其密码。


https://www.grahamcluley.com/newsnow-suffers-security-breach-passwords-should-be-considered-compromised/


【安全播报】Uber就数据泄露事件与美国各州达成1.48亿美元的和解协议


根据美联社的报道,本周三Uber与美国所有50个州和哥伦比亚特区达成了一项和解协议,Uber将为隐瞒2016年的数据泄露事件支付1.48亿美元的补偿金并加强其数据安全性。2016年11月Uber遭到黑客入侵,攻击者访问了约60万美国司机的个人数据,以及全球约5700万乘客的个人数据。该公司于2017年11月才承认了这一事件。


https://www.securityweek.com/uber-agrees-148m-settlement-states-over-data-breach



【启明星辰集团ADLab整理发布】