CVE-2017-5057 Red Hat Update for chromium-browser. (RHSA-2017-1124)

漏洞类别:RedHat

漏洞等级:

漏洞信息

Chromium is an open-source web browser, powered by WebKit (Blink).

Multiple flaws were found in the processing of malformed web content. A web page containing malicious content could cause Chromium to crash, execute arbitrary code, or disclose sensitive information when visited by the victim. (CVE-2017-5057, CVE-2017-5058, CVE-2017-5059, CVE-2017-5060, CVE-2017-5061, CVE-2017-5062, CVE-2017-5063, CVE-2017-5064, CVE-2017-5065, CVE-2017-5066, CVE-2017-5067, CVE-2017-5069)

漏洞危害

A web page containing malicious content could cause Chromium to crash, execute arbitrary code, or disclose sensitive information when visited by the victim.

解决方案

Upgrade to the latest packages which contain a patch. Refer to Applying Package Updates to RHEL system for details.

Refer to Red Hat security advisory RHSA-2017:1124 to address this issue and obtain more information.

Patch:
Following are links for downloading patches to fix the vulnerabilities:

RHSA-2017:1124: Red Hat Enterprise Linux

0day

CVE-2017-1274 IBM Domino IMAP EXAMINE Buffer Overflow Vulnerability - (swg22002280) Shadow Broker - (EMPHASISMINE)

漏洞类别:Local

漏洞等级:

漏洞信息

IBM Domino (formerly IBM Lotus Domino) is an advanced platform for hosting social business applications.

IBM Domino is vulnerable to a IMAP EXAMINE command stack buffer overflow vulnerability which can allow authenticated attackers to execute arbitrary code by specifying a large mailbox name.

Affected Versions
IBM Domino 9.0.0 prior to 9.0.1 Fix Pack 8 Interim Fix 2
IBM Domino 8.5.3 prior to 8.5.3 Fix Pack 6 Interim Fix 17
IBM Domino 6.6.4 to 8.5.2 (Fixed version 8.5.3 Fix Pack 6 Interim Fix 17)

漏洞危害

Successful exploitation of the vulnerability allows authenticated attackers to execute arbitrary code by specifying a large mailbox name.

解决方案

IBM has issued a fix (8.5.3 Fix Pack 6 Interim Fix 17 and 9.0.1 Fix Pack 8 Interim Fix 2).
Refer to IBM advisory swg22002280 to obtain more information.

Patch:
Following are links for downloading patches to fix the vulnerabilities:

swg21657963

0day

CVE-2017-3136 Amazon Linux Security Advisory for bind: ALAS-2017-826

漏洞类别:Amazon Linux

漏洞等级:

漏洞信息

A denial of service flaw was found in the way BIND handled a query response containing CNAME or DNAME resource records in an unusual order. A remote attacker could use this flaw to make named exit unexpectedly with an assertion failure via a specially crafted DNS response. (CVE-2017-3137 )

A denial of service flaw was found in the way BIND handled query requests when using DNS64 with "break-dnssec yes" option. A remote attacker could use this flaw to make named exit unexpectedly with an assertion failure via a specially crafted DNS request. (CVE-2017-3136 )

Upstream acknowledges Oleg Gorokhov (Yandex) as the original reporter of CVE-2017-3136 .

漏洞危害

Allows unauthorized disclosure of information; allows unauthorized modification; allows disruption of service.

解决方案

Please refer to Amazon advisory ALAS-2017-826 for affected packages and patching details, or update with your package manager.

Patch:
Following are links for downloading patches to fix the vulnerabilities:

ALAS-2017-826: Amazon Linux (bind (9.8.2-0.62.rc1.54.amzn1) on i686)

ALAS-2017-826: Amazon Linux (bind (9.8.2-0.62.rc1.54.amzn1) on x86_64)

ALAS-2017-826: Amazon Linux (bind (9.8.2-0.62.rc1.54.amzn1) on src)

0day

CVE-2017-5461 Amazon Linux Security Advisory for nss,nss-util: ALAS-2017-825

漏洞类别:Amazon Linux

漏洞等级:

漏洞信息

An out-of-bounds write flaw was found in the way NSS performed certain Base64-decoding operations. An attacker could use this flaw to create a specially crafted certificate which, when parsed by NSS, could cause it to crash or execute arbitrary code, using the permissions of the user running an application compiled against the NSS library. (CVE-2017-5461 )

Upstream acknowledges Ronald Crane as the original reporter.

漏洞危害

Allows unauthorized disclosure of information; allows unauthorized modification; allows disruption of service.

解决方案

Please refer to Amazon advisory ALAS-2017-825 for affected packages and patching details, or update with your package manager.

Patch:
Following are links for downloading patches to fix the vulnerabilities:

ALAS-2017-825

0day

CVE-2017-2668 Amazon Linux Security Advisory for 389-ds-base: ALAS-2017-824

漏洞类别:Amazon Linux

漏洞等级:

漏洞信息

Remote crash via crafted LDAP messages:
An invalid pointer dereference flaw was found in the way 389-ds-base handled LDAP bind requests. A remote unauthenticated attacker could use this flaw to make ns-slapd crash via a specially crafted LDAP bind request, resulting in denial of service. (CVE-2017-2668 )

漏洞危害

Allows unauthorized disclosure of information; allows unauthorized modification; allows disruption of service.

解决方案

Please refer to Amazon advisory ALAS-2017-824 for affected packages and patching details, or update with your package manager.

Patch:
Following are links for downloading patches to fix the vulnerabilities:

ALAS-2017-824: Amazon Linux (389-ds-base (1.3.5.10-20.50.amzn1) on i686)

ALAS-2017-824: Amazon Linux (389-ds-base (1.3.5.10-20.50.amzn1) on x86_64)

ALAS-2017-824: Amazon Linux (389-ds-base (1.3.5.10-20.50.amzn1) on src)

0day

CVE-2017-2616 Amazon Linux Security Advisory for util-linux: ALAS-2017-823

漏洞类别:Amazon Linux

漏洞等级:

漏洞信息

Sending SIGKILL to other processes with root privileges via su:
A race condition was found in the way su handled the management of child processes. A local authenticated attacker could use this flaw to kill other processes with root privileges under specific conditions.(CVE-2017-2616 )

漏洞危害

Allows unauthorized disclosure of information; allows unauthorized modification; allows disruption of service.

解决方案

Please refer to Amazon advisory ALAS-2017-823 for affected packages and patching details, or update with your package manager.

Patch:
Following are links for downloading patches to fix the vulnerabilities:

ALAS-2017-823: Amazon Linux (util-linux (2.23.2-33.28.amzn1) on i686)

ALAS-2017-823: Amazon Linux (util-linux (2.23.2-33.28.amzn1) on x86_64)

ALAS-2017-823: Amazon Linux (util-linux (2.23.2-33.28.amzn1) on src)

0day

CVE-2017-3008 Adobe Security Hotfix for ColdFusion (APSB17-14)

漏洞类别:Local

漏洞等级:

漏洞信息

Adobe ColdFusion is an application for developing Web sites.

Adobe has released security hotfixes for ColdFusion versions 10, 11 and the 2016 release. These hotfixes resolve an input validation issue that could be used in reflected XSS (cross-site scripting) attacks (CVE-2017-3008). These hotfixes also include an updated version of Apache BlazeDS to mitigate java deserialization (CVE-2017-3066).

Affected Versions:
ColdFusion (2016 release) Update 3 and earlier versions
ColdFusion 11 Update 11 and earlier versions
ColdFusion 10 Update 22 and earlier versions

漏洞危害

Depending on the vulnerability being exploited, a remote attacker could execute arbitrary code or conduct cross-site scripting attacks against a targeted server.

解决方案

The vendor has released a hotfix to patch this vulnerability. Please refer to APSB17-14 for detailed information.

Patch:
Following are links for downloading patches to fix the vulnerabilities:

APSB17-14: /windows/i

0day

两个专家谈中小企业选择云服务时面临的问题 1是从5个方面看为什么 2是从两个方面需要考虑什么

在中小企业选择 云服务 的问题上,注意不是 云服务器 。我们摘录了两个方面的建议,大家对比看看。在为什么的问题上,中润云服的运营专家从企业IT运营的角度,给出了5个方面的理由;而在如何选择的问题上,绿盟科技的安全专家从企业安全角度,给出了2个方面的考虑。

中小企业为什么要选择云服务

  • 1)节约基础设施成本 无需购买新服务器、操作系统、应用程序,你只需要按月支付给云服务商就可以实现提供IT服务的功能。由于服务器需要安装操作系统,而且也需要有相应的应用软件来实现功能运营,因此这笔不小的开支,对于中小企业来说,意义重大——尤其是在完全实现之前,进行服务测试,采用这种云服务模式,更加重要。
  • 2)节约部署和管理费用 如果IT员工对新的应用程序不太熟悉的话,那么实施新功能将会是一个长期而又艰巨的过程。云服务商可以提供经验丰富的管理员,为中小企业提供各种应用支持。这也就是为什么基于云端的服务会在众多企业中备受欢迎的原因之一。同样,在监测、设立新账户、应用补丁等方面,云服务商也有众多优势,能够帮助中小企业节约管理和部署成本。
  • 3)提高可用性 因为云服务商使用大型现代化绿色数据中心,为多个企业实现基础设施提供共享。其成本会比企业自身搭建基础设施平台要少得多。
  • 4)获得更好性能与更多功能 由于云服务商能为许多不同企业提供服务,它们拥有大型、高性能系统平台,能实现比小企业自行搭建平台更高的性能。它们通常拥有最优秀最丰富的软件版本和站点许可,所以用户可以以更低的价格来访问到更多功能。此外,云服务商管理人员丰富的技术经验,懂得如何优化性能。
  • 5)提升公司灵活性 云服务商能够轻而易举地快速增加服务器部署或者服务提供,而且既能面向内部合作用户,也能满足外包商、合作伙伴和消费者的需要。这意味着可以提高公司的灵活性,使公司更快速地响应客户需求。

中小企业选择云服务时需要考虑标准化和精细化

作者是金融行业的高级安全顾问,他的建议对于中小企业选择云服务具有一定的参考价值。仅以中国为例 ,目前可以提供云服务的厂家主要有下几大类 (排名不分先后 ):

  • 互联网 公司:百度 、腾讯 、阿里 、京东 …..
  • 运营 商:移动 、联通 、电信
  • IDC 服务提供商:万国 、中金 、世纪互联 、蓝汛 ……
  • 大型 IT 服务提供商:华为 、金山 、中兴 、首信 ……
  • 其它……

对于中小企业,由于其公司规模,业务特点等属性,决定了其是第一批向“云转移”用户。那么问题来了,云计算显然没有自建数据中心那么透明,同时云计算发展的这10年,也是安全问题层出不穷的10年,如亚马逊数据中心安全事件、Google的Gmail事件、 微软的Azure安全事件 、阿里云的DDOS攻击等,这些安全问题更给中小企业在选择云服务的同时蒙上了一层阴影。

根据调研数据, 信息安全风险是客户采用云计算所要考虑的首要问题,针对如此多的云计算提供商,中小企业如何从安全角度出发选择适合自己的云计算提供商显得极为重要。在我看来,中小企业在选择云计算同时,安全的考虑可以从两个方面出发,标准化及精细化

标准化(适用于绝大多数用户)

对于绝大多数中小企业,安全技术人员相对较少,面多众多的云计算提供商,如何检查其提供的服务是否安全,就显得尤为困难了,因此选择一个获得相关云计算安全认证的提供商是最直接,有效的方法。

随着国家和行业对云计算或云平台提供商的监管要求越来越严格和标准化,安全已经成为组织或机构在选用或建设云平台的重要考虑问题,涉及到云计算的规划、设计、建设等多个阶段。

目前安全指标可以参考两个认证,一个是国内的可信云服务认证(国内另一个比较有分量的标准是公安部即将发布的云等保,由于目前还在审批阶段,因此不纳入本文),另一个是国际的CSA-Star认证。

可信云服务认证(国内)

可信云服务认证是在工信部通信发展司的指导下,由云计算发展与政策论坛成立的“可信云服务工作组” 组织开展,认证的核心目标是建立云服务商的评估体系,为用户选择安全、可信的云服务商提供支撑,并最终促进我国云计算市场健康、有序发展。值得一提的是,可信云在2016年已经正式被写入ITU-T Y.3501(国际电信联盟云计算框架性标准),成为国际标准。

目前可信云服务认证可以评估十二大类云服务,覆盖当前业界主流服务类型,包括云主机服务、对象存储服务、云数据库服务、云引擎服务、块存储服务、云缓存服务、本地和全局负载均衡服务、云分发服务、在线应用服务、桌面云服务和企业移动化管理服务。

可信云服务认证的具体测评内容包括三大类共16项,分别是:数据管理类(数据存储的持久性、数据可销毁性、数据可迁移性、数据保密性、数据知情权、数据可审查性)、业务质量类(业务功能、业务可用性、业务弹性、故障恢复能力、网络接入性能、服务计量准确性)和权益保障类(服务变更、终止条款、服务赔偿条款、用户约束条款和服务商免责条款)。

目前获得可信云服务认证的用户主要为国内一些知名企业,如国内三大运营商,百度,腾讯,京东,华为,中兴,搜狐等,根据提供服务的不同,获得的认证的类别也不同。

CSA-Star(国际)

CSA-Star是云安全国际联盟(简称CSA)和英国标准协会(简称BSI)联合推出的云安全国际认证。 CSA-Star以ISO/IEC 27001认证为基础,结合云端安全控制矩阵CCM的要求,运用BSI提供的成熟度模型和评估方法,综合评估组织云端安全管理和技术能力,最终给出“不合格-铜牌-银牌-金牌”四个级别的独立第三方外审结论。

CSA-Star测评参考的CCW(云端安全控制矩阵)没有对大类进行分类,但同样包括16项控制域(检查内容),分别是:应用和接口安全(4检查点)、审计保障(3检查点)、业务连续性及管理(12检查点)、变更控制及配置管理(3检查点)、数据安全及信息生命周期管理(8检查点)、数据中心安全(9检查点)、加密和密钥管理(3检查点)、风险管理(11检查点)、人力资源(12检查点)、身份及访问控制(13检查点)、架构及虚拟化安全(12检查点)、操作和移植(5检查点)、移动安全(20检查点)、安全事件管理及问题取证(5检查点)、供应链管理(9检查点)。
目前,通过的CSA-Star认证的组织主要为国内外企业,如阿里巴巴(金牌)、HP(银牌)、 Exponential-e、Pulsant等。

精细化(适合对安全需求明确的用户)

对于一些标准和要求比较高的中小企业用户,在选择云计算的时候,除了关注标准问题,还非常关注各个标准的具体细节。

目前云计算安全最详细的标准当属CSA-Star的CCW(云控制矩阵),目前已经更新到3.0版本,CCW具体条款这里不做介绍,感兴趣的用户可以通过CSA网站直接下载,这里我将CCW的条款概括为三大类核心安全问题,分别是:数据、业务和服务保障。这里面尤为要提的是服务保障,因为绝大多数用户过分关注安全技术问题,而忽略对应的安全服务及职责分工等问题。

以下从服务、数据以及业务三个方面出发,列出我们需要的重点关注的问题,以此为中小企业选择云计算安全的时候提供参考。

  • 服务相关重点
    • a)    云平台使用的范围、策略、权利、变更、限制
    • b)    数据如何存储和保护;
    • c)    如何控制云平台提供商访问我的数据;
    • d)    服务终止后数据保留及销毁;
    • e)    事件的响应和报告;
    • f)    是否有其他适用条款
    • g)    对于企业不能接受的条款,需要与云平台提供商协商解决。
  • 数据相关重点
    • a)    云平台服务上是否可以访问我的数据
    • b)    数据自行删除后,云平台服务商是否可以保留数据;
    • c)    通过密钥对数据进行加密和管理
    • d)    数据隔离手段及步骤
    • e)    对于服务商层面的数据迁移,是否有解决方案并且易于实现;
    • f)    当终止服务,数据是否可以永久删除。
    • g)    确定数据类型:结构化、非结构化
    • h)    如数据需要共享,需要对共享人,IP等进行控制
    • i)    通过专业安全设备对数据库进行访问
  • 业务相关重点
    • a)    云平台服务商提供的服务最好与企业自身业务有切合点。
    • b)    云平台服务商最好没有重大安全事件;
    • c)    云平台服务商技术人员水平及实力
    • d)    对业务中断、数据丢失等情况进行安全评估,并制定相应措施;
    • e)    如果云平台故障,是否有业务保障措施
    • f)    服务终止后的数据转移
    • g)    云平台数据存储及备份策略
    • h)    建立本地数据备份机制

中小企业可以根据自己的规模,人才储备,业务特点等情况从上面所述两个方面选择自己的云计算提供商,当然也可以根据自己对安全的实际需求,制定适合自己的云计算选择策略。

本文由:安全加 发布,版权归属于原作者。
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/sme-choice-cloud-service
如果此文章侵权,请留言,我们进行删除。

0day

“内置生物指纹扫描芯片”听起来像广告词 而且指纹很容被伪造啊 但万事达卡的安全总监不这么认为

万事达推出内置指纹扫描器的信用卡,内置生物指纹扫描器,允许用户使用指纹进行支付授权,而无需密码或签名。万事达正在南非测试新的生物识别支付卡以及板载芯片,并希望在2017年底之前推广至全球其他国家和地区。

别担心,作为备用选项,它仍然支持密码授权

等等——如果你觉得这一功能会导致无法将卡分享给配偶和子女使用,别担心——万事达也有解决办法。万事达已确认,即使被配置为需要指纹来授权,新信用卡仍支持密码授权作为备用选项,以防EMV刷卡机读取指纹失败或者卡主将卡交给子女购物。

虽然商店和零售商不需要购置新硬件 但银行需要采用新的技术

据万事达称,因为新的生物识别支付卡自带能读取指纹的传感器,店主和企业不需要购置指纹扫描器等新硬件。

由于数据和扫描器位于同一张卡上,新的支付卡可以使用现有的EMV卡终端设备,也就是许多商家正在使用的芯片/磁条读卡器,但不支持旧式只能刷磁条的终端设备。

在这类新卡在全世界范围内被采用之前,银行或者金融机构必须参与到这项新技术中。如果你想要这样的生物识别支付卡,你需要到银行扫描指纹并注册,以使用这项新技术。然后,你的指纹将被转换加密数字模板,存储在卡片的EMV芯片中。

你最多可以保存两个指纹,但必须都是你的。你不能授权其他人——即使是家人——通过他们的指纹来使用你的卡。指纹模板保存之后,你就可以在全世界兼容生物识别卡片的刷卡终端上使用这张卡了。

为了接受生物识别支付卡,商家不需要购置新的设备,但需要更新他们的机器。现在,在任何商家购物时,在EVM终端上刷你的生物识别购物卡,然后将手指放在内置传感器上,即可支付。你的指纹将会与卡上所存的模板进行比对,以批准交易。

那指纹伪造的问题该怎么办呢?

这一卡片技术是为了让面对面支付更方便和安全,但这类生物识别在网络购物时毫无用处,因此并未对信用卡诈骗带来任何防护。万事达安全总监Ajay Bhalla表示:

“无论是手机解锁还是在线购物,指纹都带来额外的便利和安全性。(指纹)不是可以带走或者复制的东西,将会帮助卡主更好地生活,因为卡主知道他们的支付受到保护。”

但这不是真的。因为,指纹很容易被伪造。我们已经见过这样的研究,出于恶意目的,高清照片被用来伪造指纹。所以,罪犯们完全可以在手指上放置假指纹,使用偷来的信用卡进行支付。

除了生物识别卡,万事达还计划推出非接触式付款。这种付款方式与苹果支付(Apple Pay)之类的移动支付相似,用户拿手机靠近刷卡机,通过指纹来授权交易。

本文由:HackerNews 发布,版权归属于原作者。
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/mastercard-fingerprint-payment-card
如果此文章侵权,请留言,我们进行删除。

0day

俄罗斯黑客背负八项罪名,竟是僵尸网络 Kelihos 幕后黑手

本月初,俄罗斯黑客 Peter Levashov 于西班牙被捕,因涉嫌串谋诈骗、盗窃身份被指控八项罪名。此外,Levashov 还被认为代号为“ Severa”的黑客、操纵 Kelihos 僵尸网络(全球规模最大的垃圾邮件网络)的幕后黑手。

康涅狄格州联邦陪审团提交起诉书并于本周五列出美国法庭对 Levashov 提出的所有指控罪名,其中包括从事威胁损坏受保护计算机的阴谋活动以及对受保护计算机造成蓄意破坏、访问受保护计算机以促进诈骗与电信诈骗的身份窃取恶性行为。

36 岁的 Levashov 于 4 月 7 日在西班牙被捕,消息传出数小时后,Levashov 被证实与 2016 年美国大选期间民主党电子邮件泄漏事件有关。在接下来的数小时内,Levashov 操纵僵尸网络 Kelihos 的事实也得到确认。公诉人认为该僵尸网络用于向数百万用户传播垃圾邮件与恶意软件。司法部表示,Levashov 被捕后当即展开了对该僵尸网络的拆除工作。

原作者:Gabriela Vatu,译者:青楚,译审:游弋
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接0day