首页 > 安全钻研 > 安全传递 > 安全简讯

Nagios XI远程号令执行缝隙（CVE-2019-20197）；针对FPGA-CPU混合平台的JackHammer攻击

颁布功夫 2020-01-03

1.全球8.15亿智能扬声器中有一半使用户隐衷面对风险

GA黄金甲·(中国区)官方网站

国际数据公司（IDC）进行的一项调查显示，在全球运营的8.15亿个智能扬声器中，险些有一半在威胁用户的隐衷。这是IDC对全球8.15亿个智能扬声器、监控摄像头以及其他智能设备（例如智能电视）进行钻研时发现的。一个更有趣的发现是，这些设备大无数都是作为礼物销售的。若是用户筹算使用这些设备，建议他们按步骤操作以最大水平地降低其窃听能力。受影响的设备类型可能蕴含智能扬声器或智能腕表、安全摄像头或保姆摄像头、智能门锁、智能电视以及智能玩具。

原文链接：

https://www.cybersecurity-insiders.com/half-of-the-global-815-million-smart-speakers-are-putting-users-privacy-at-risk/

2.钻研人员演示针对FPGA-CPU混合平台的JackHammer攻击

GA黄金甲·(中国区)官方网站

在2019年12月31日颁布的一篇新论文中，一群美国和德国粹者演示了若何利用现场可编程门阵列（FPGA）卡来提议更快和更靠得住的JackHammer攻击。FPGA是能够增长到推算机系统（台式机或服务器）的附加卡，近年来FPGA已经成为云推算环境中的一种常见产品，阿里云和AWS均可为客户提供基于FPGA的服务器事俘，微软还致力于在Azure内部集成基于FPGA的技术。钻研人员发现当从用户配置的FPGA中启动攻击代码时，与从CPU攻击相比能够更有效地引起位翻转并以更快的快率进行操作，这是由于FPGA卡直接衔接四处置器的总线，从而能够直接不受限度地接见CPU缓存和RAM存储器，此表FPGA不用处置固件和OS软件，从而使其运行代码的快率比通常CPU更快。WolfSSL在12月20日颁布的4.3.0版本中蕴含了一个缝隙（CVE-2019-19962）的建复法式，用于预防缓和解JackHammer攻击。

原文链接：

https://www.zdnet.com/article/fpga-cards-can-be-abused-for-faster-and-more-reliable-rowhammer-attacks/

3.餐饮娱乐公司Landry习染恶意软件，客户支付信息泄露

GA黄金甲·(中国区)官方网站

美国餐饮、住宿及娱乐公司Landry通知客户其支付卡数据可能在安全事务中泄露。凭据其网站上颁布的通知，该公司暗示恶意软件重要从其酒吧和饭店网络支付卡数据。该事务产生在2019年3月13日到2019年10月17日期间，有63个酒吧和餐厅品牌受到影响。Landry暗示在2016年产生支付卡泄露事务之后，他们执行了一种安全解决规划，通过端到端加密来暗藏客户的支付卡数据。但该安全职能仅合用于PoS终端，对酒吧和餐厅的订单输入系统没有影响。Landry暗示事务的原因可能是服务员谬误地在订单输入系统上刷了客户的支付卡，因而该公司以为只有少数用户受到影响。

原文链接：

https://www.tripwire.com/state-of-security/security-data-protection/landrys-notifies-customers-of-payment-card-incident/

4.科罗拉多州奥罗拉市水务部门泄露部门客户隐衷信息

GA黄金甲·(中国区)官方网站

科罗拉多州奥罗拉市水务部门称部门客户的幼我信息可能因数据泄露而受到侵害，受影响的客户为在2019年8月30日至10月14日期间使用Click2Gov支付系统进行一次性付款或设置定期付款的客户。凭据该市的调查，未经授权的攻击者批改了Click2Gov软件的一段推算机代码，用于窃取姓名、账单地址、支付卡类型、支付卡号、验证码以及到期日期等信息，但不蕴含社会安全号码或当局宣告的ID号码。该市水务部门已经启用了一个名为Paymentus的新支付系统并在齐全过渡到该新系统，该系统没有受到影响。

原文链接：

https://www.9news.com/article/news/local/aurora-water-data-breach/73-4a717e74-9827-4a05-bab9-25782737dda6

5.Big Monitoring Fabric颁布安全更新，建复两个缝隙

GA黄金甲·(中国区)官方网站

Big Monitoring Fabric利用法式建复了两个高危缝隙，蕴含XSS缝隙（CVE-2019-19632）和敏感信息泄露缝隙（CVE-2019-19631）。由Big Switch Networks开发的Big Monitoring Fabric是一种混合的云可见性和安全性解决规划，旨在为客户提供通过单个仪表板监督物理、虚构和云环境的能力。第一个XSS缝隙位于/login页面中，它允许未经身份验证的攻击者在登录过程中提交JavaScript XSS有效内容作为用户名，从而获得对Big Monitoring Fabric利用法式的治理接见以及对受影响系统的SSH节造台接见。第二个缝隙允许低权限只读用户获得治理权限，并通过SSH节造台接见受影响的系统，具体来说，只读或治理员组中的用户能够通过API /api/v1/export接见SSH RSA私钥和有效的用户会话cookie（蕴含治理员的cookie）。

原文链接：

https://www.securityweek.com/high-risk-vulnerabilities-addressed-big-monitoring-fabric

6.Nagios XI远程号令执行缝隙（CVE-2019-20197）

GA黄金甲·(中国区)官方网站

Nagios XI是美国Nagios公司的一套IT基础设施监控解决规划。该规划支持对利用、服务、操作系统等进行监控和预警。@Cody Sixteen在Twitter颁布了有关Nagios XI远程号令执行缝隙（CVE-2019-20197）的有关信息，该缝隙影响了Nagios XI 5.6.9版本，经过身份验证的用户能够通过向schedulereport.php文件发送带有shell元字符的‘id’参数，在Web服务器用户帐户的高低文中执行肆意操作系统号令。目前厂商暂未颁布建复措施。

原文链接：

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201912-1534

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Nagios XI远程号令执行缝隙（CVE-2019-20197）；针对FPGA-CPU混合平台的JackHammer攻击

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

Nagios XI远程号令执行缝隙（CVE-2019-20197）；针对FPGA-CPU混合平台的JackHammer攻击

7*24幼时服务热线

Nagios XI远程号令执行缝隙（CVE-2019-20197）；针对FPGA-CPU混合平台的JackHammer攻击