04月09日星期四
  • BUGFOR 13:10

    Security Flaw in pam_per_user Module【cxsecurity漏洞监测系统】

    本信息来自【BUGFOR漏洞监测系统】自动抓取发布 漏洞标题【Security Flaw in pam_per_user Module】 编号【WLB-2005090002】 pam_per_user模块中的安全缺陷 2005.09.13 信用: 马克·D·罗斯 风险: 中等 本地: 是 远程: 是 CVE: CVE-2005-2949 CWE: N / A 信息源头来自cxsecurity.com CVSS基本得分:7.5 / 10影响分值:6.4 / 10可利用性得分:10/10利用范围:远程攻击复杂度:低验证:不需要机密性影响:部分诚信影响:部分可用性影响:部分 摘要/影响: --------------- pam_per_user PAM模块中存在一个安全漏洞,该漏洞可能允许 可以验证系统上任何用户身份的人,前提是他们 已经拥有一个帐户的适当凭据。 此安全漏洞已在pam_per_user-0.4中修复,该漏洞可用 从: http://www.feep.net/PAM/pam_per_user/ 细节: -------- pam_per_user模块允许使用不同的身份验证机制 根据每个用户使用。外部映射文件用于映射任何 为用户提供了备用PAM服务名称,该名称应用于 验证该用户。然后,模块创建一个新的PAM 使用该服务名称的“ subrequest”句柄,并使用该PAM句柄 验证用户身份。PAM的这种递归使用对 调用应用程序。 PAM“子请求”句柄由pam_per_user在两次调用之间缓存。 在典型情况下,用户名在两次呼叫之间不会更改,因此 这很好。但是,某些应用程序(最值得注意的是/ bin / login) 每次获得密码时,为用户提供新的登录提示 错误,这可能导致用户名更改。 不幸的是,pam_per_user无法正确处理这种情况。它 没有检查用户名是否已更改,这可能会导致 允许用户使用其他用户的身份验证 凭据(请参见下面的示例)。 该模块已修复,可以检查用户名是否已更改 自上次调用以来,并在以下情况下重新创建“ subrequest”句柄 需要。 例: -------- 假设存在以下两个帐户: foo(密码foo) 酒吧 登录会话可能如下所示: 登录名:foo 密码:bad_password 登录名:栏 密码:foo <-注意:这是用户foo的正确密码! 这将导致成功的身份验证,因为pam_per_user 仍在为用户foo使用子请求句柄,即使 尝试验证用户栏。这意味着任何知道 用户“ foo”的密码可以用户“ bar”的身份登录-或其他任何用户 用户。 笔记: ------ 目前,唯一已知触发此安全漏洞的应用程序 是/ bin / login。但是,任何重置PAM_USER项目的应用程序 在首次调用pam_authenticate(3)(或其他任何PAM)之后 来电)将触发相同的漏洞。 致谢: --------------- 非常感谢Vijay Tandeker <vijayt(at)india.tejasnetworks(dot)com [隐藏电子邮件]>对于 报告此安全漏洞。

    利好{{list !== '' ? list['10']['0']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['10']['0']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 00:12 zdnet

    亚太地区企业应意识到云并不便宜

    简介: 亚太地区企业应意识到云并不便宜 发布时间:2020-04-07 01:08:00 发表者:Eileen Yu 快讯来源地址:https://www.zdnet.com/article/apac-firms-should-realise-cloud-not-always-cheaper/原文连接

    利好{{list !== '' ? list['10']['1']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['10']['1']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 00:11 zdnet

    现在邮件提供商砍,600000用户的数据在黑暗的网络销售

    简介: 现在邮件提供商砍,600000用户的数据在黑暗的网络销售 发布时间:2020-04-07 04:28:00 发表者:Catalin Cimpanu 快讯来源地址:https://www.zdnet.com/article/email-provider-got-hacked-data-of-600000-users-now-sold-on-the-dark-web/原文连接

    利好{{list !== '' ? list['10']['2']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['10']['2']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 00:10 zdnet

    劳动奇迹澳大利亚如何处理cyber-corona爆发

    简介: 劳动奇迹澳大利亚如何处理cyber-corona爆发 发布时间:2020-04-07 06:09:00 发表者:Chris Duckett 快讯来源地址:https://www.zdnet.com/article/labor-wonders-how-australia-would-handle-a-cyber-corona-outbreak/原文连接

    利好{{list !== '' ? list['10']['3']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['10']['3']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 00:09 zdnet

    微软宣布IPE, Linux的新代码完整性特征

    简介: 微软宣布IPE, Linux的新代码完整性特征 发布时间:2020-04-07 07:43:00 发表者:Catalin Cimpanu 快讯来源地址:https://www.zdnet.com/article/microsoft-announces-ipe-a-new-code-integrity-feature-for-linux/原文连接

    利好{{list !== '' ? list['10']['4']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['10']['4']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 00:08 zdnet

    欧洲刑警组织逮捕人对冠状病毒的商业邮件诈骗兜售口罩,洗手液

    简介: 欧洲刑警组织逮捕人对冠状病毒的商业邮件诈骗兜售口罩,洗手液 发布时间:2020-04-07 09:16:35 发表者:Charlie Osborne 快讯来源地址:https://www.zdnet.com/article/europol-arrests-man-for-coronavirus-business-email-scam-money-laundering/原文连接

    利好{{list !== '' ? list['10']['5']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['10']['5']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 00:07 zdnet

    WhatsApp使你更难一些消息转发,因为它试图减缓冠状病毒错误信息

    简介: WhatsApp使你更难一些消息转发,因为它试图减缓冠状病毒错误信息 发布时间:2020-04-07 10:34:00 发表者:Steve Ranger 快讯来源地址:https://www.zdnet.com/article/whatsapp-makes-it-harder-for-you-to-forward-some-messages-as-it-tries-to-slow-coronavirus-misinformation/原文连接

    利好{{list !== '' ? list['10']['6']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['10']['6']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 00:06 zdnet

    微软:这10 Windows PowerShell脚本可以让你安全地与[email protected]冠状病毒作斗争

    简介: 微软:这10 Windows PowerShell脚本可以让你安全地与[email protected]冠状病毒作斗争 发布时间:2020-04-07 11:05:00 发表者:Liam Tung 快讯来源地址:https://www.zdnet.com/article/microsoft-this-windows-10-powershell-script-lets-you-securely-fight-coronavirus-with-foldinghome/原文连接

    利好{{list !== '' ? list['10']['7']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['10']['7']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 00:05 zdnet

    超过350000微软交换服务器仍然开放受到攻击的缺陷:补丁了

    简介: 超过350000微软交换服务器仍然开放受到攻击的缺陷:补丁了 发布时间:2020-04-07 13:45:00 发表者:Liam Tung 快讯来源地址:https://www.zdnet.com/article/over-350000-microsoft-exchange-servers-still-open-to-flaw-thats-under-attack-patch-now/原文连接

    利好{{list !== '' ? list['10']['8']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['10']['8']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 00:04 zdnet

    这些黑客们多年来一直悄悄地针对Linux服务器

    简介: 这些黑客们多年来一直悄悄地针对Linux服务器 发布时间:2020-04-07 13:59:00 发表者:Danny Palmer 快讯来源地址:https://www.zdnet.com/article/these-hackers-have-been-quietly-targeting-linux-servers-for-years/原文连接

    利好{{list !== '' ? list['10']['9']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['10']['9']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 00:03 zdnet

    微软corp.com域的名义购买客户安全

    简介: 微软corp.com域的名义购买客户安全 发布时间:2020-04-07 15:16:21 发表者:Mary Jo Foley 快讯来源地址:https://www.zdnet.com/article/microsoft-buys-corp-com-domain-in-the-name-of-customer-security/原文连接

    利好{{list !== '' ? list['10']['10']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['10']['10']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 00:01 zdnet

    简介: 台湾指示政府机构不使用变焦 发布时间:2020-04-07 16:36:00 发表者:Eileen Yu 快讯来源地址:https://www.zdnet.com/article/taiwan-instructs-government-agencies-not-to-use-zoom/原文连接

    利好{{list !== '' ? list['10']['11']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['10']['11']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 00:00 zdnet

    域名注册商暂停600可疑冠状病毒网站

    简介: 域名注册商暂停600可疑冠状病毒网站 发布时间:2020-04-07 16:38:00 发表者:Daphne Leprince-Ringuet 快讯来源地址:https://www.zdnet.com/article/domain-name-registrar-suspends-600-suspicious-coronavirus-websites/原文连接

    利好{{list !== '' ? list['10']['12']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['10']['12']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
04月08日星期三
  • BUGFOR 23:59 zdnet

    谷歌支持苹果的短信OTP标准的建议

    简介: 谷歌支持苹果的短信OTP标准的建议 发布时间:2020-04-07 18:16:00 发表者:Catalin Cimpanu 快讯来源地址:https://www.zdnet.com/article/google-backs-apples-sms-otp-standard-proposal/原文连接

    利好{{list !== '' ? list['11']['0']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['11']['0']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 23:55 zdnet

    铬81发布的初始支持Web NFC标准

    简介: 铬81发布的初始支持Web NFC标准 发布时间:2020-04-07 19:38:25 发表者:Catalin Cimpanu 快讯来源地址:https://www.zdnet.com/article/chrome-81-released-with-initial-support-for-the-web-nfc-standard/原文连接

    利好{{list !== '' ? list['11']['1']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['11']['1']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 23:53 zdnet

    谷歌支持苹果的短信OTP标准的建议

    简介: 谷歌支持苹果的短信OTP标准的建议 发布时间:2020-04-07 18:16:00 发表者:Catalin Cimpanu 快讯来源地址:https://www.zdnet.com/article/google-backs-apples-sms-otp-standard-proposal/原文连接

    利好{{list !== '' ? list['11']['2']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['11']['2']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
  • BUGFOR 22:11 zdnet

    台湾指示政府机构不要使用Zoom

      简介: 出于安全和隐私方面的考虑,台湾网络安全部已向所有禁止使用某些视频软件(例如Zoom)的政府机构发布了一项咨询。 时间: 发表者: 快讯来源地址: https://www.zdnet.com/article/taiwan-instructs-government-agencies-not-to-use-zoom/原文连接

    利好{{list !== '' ? list['11']['3']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['11']['3']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
04月05日星期日
04月03日星期五
  • BUGFOR 23:06

    美媒:“CIA泄密人”主要罪名不成立,曾曝光美国对华黑客攻击

      综合美国媒体报道,美国中央情报局(CIA)前雇员约书亚·亚当·舒尔特当地时间3月9日出庭听取宣判。此前他被指控向“维基解密”网站泄露CIA的秘密黑客工具、向调查人员作虚假陈述、藐视法庭等10项罪名。最终,陪审团仅裁定虚假陈述和藐视法庭罪成立,无法在其余8项重罪上达成一致。《华盛顿邮报》称,这一审判结果是对美国政府的严重打击。 报道称,约书亚·亚当·舒尔特现年31岁,曾作为实习生在美国国家安全局工作过一段时间,2010年加入CIA,在秘密行动处(NCS)担任科技情报主管。公开资料显示,NCS充当CIA的秘密部门,是协调、去除冲突以及评估美国情报界秘密行动的国家主管部门。 2016年,当时的舒尔特是CIA网络武器的核心研发人员,拥有CIA内部武器库最高管理员权限。他被指控利用在核心机房的权限和设置的后门,拷走了CIA网络情报中心的大量文件,交给了朱利安·阿桑奇创办的“维基解密”网站。当年11月,舒尔特从CIA离职。 2017年3月,“维基解密”将这些文件公布在网站上,披露了美国在网络上从事间谍活动的能力。文件共计8716份,其中包含涉密文件156份,涵盖了CIA黑客部队的攻击手法、目标、工具的技术规范和要求,还包括核心武器“Vault7”(穹窿7)。 2017年3月13日,美国联邦调查局(FBI)特工搜查了舒尔特的公寓,带走了他的一台电脑服务器、几个硬盘和几个手抄本。舒尔特否认是自己泄露了CIA的文件。8月,调查人员表示在他的电脑上发现了儿童色情文件,包括一万多张照片或视频,并以此理由逮捕舒尔特。 2018年,舒尔特因泄密案被美国司法部正式指控犯有间谍罪等重罪。2020年2月4日,在美国联邦法庭的公开听证会上,检方公诉人认定,舒尔特造成了“CIA历史上最大的一次机密国防情报泄露事件”。 本次庭审于一个多月前开始。检方指控称,舒尔特与同事发生争执,因为他的上司没有支持自己,于是他心怀不满、决定报复,制造了这一泄密事件,给美国国家安全带来了“毁灭性的打击”。检方向法庭提交了证人证词、CIA内部通讯记录和电脑记录。舒尔特则拒不认罪。律师辩称,舒尔特与同事不和,所以CIA选他当替罪羊。 据报道,鉴于法官宣布针对其余指控罪名的审判流审,预计将再次就舒尔特其余8项指控重新进行审判,法庭将于3月26日召开会议商讨此事。 另外,通过对“Vault7”(穹窿7)进行研究、分析和溯源,360安全大脑发现与其关联的一系列针对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等长达11年(从2008年9月到2019年6月左右)的定向攻击活动,这些网络攻击主要针对北京、广东、浙江等省市。 中国外交部发言人赵立坚3月4日在例行记者会上表示,长期以来,美国政府有关机构违反国际法和国际关系基本准则,对外国政府、企业和个人实施大规模、有组织、无差别的网络窃密、监控和攻击,这早已世人皆知。从“维基解密”到“斯诺登事件”,再到近期的“瑞士加密机事件”,美方这种不道德的行径一再曝光。360公司有关的报告是又一有力的例证。 赵立坚称,事实证明,美国才是全球最大的网络攻击者,是名副其实的“黑客帝国”。美方却贼喊捉贼,时时处处把自己装扮成网络攻击的受害者,充分暴露了美方在网络安全问题上的虚伪性和双重标准。中国一直是美方网络窃密和攻击的严重受害者,中方就此多次向美方提出严正交涉。我们再次强烈敦促美方作出清楚解释,立即停止此类活动,还中国和世界一个和平、安全、开放、合作的网络空间。 文章来源:环球网

    利好{{list !== '' ? list['13']['0']['vote']['up'] : '0'}}

    利空{{list !== '' ? list['13']['0']['vote']['down'] : '0'}}

    分享到微博微信QQ好友
个人中心
购物车
优惠劵
有新私信 私信列表
搜索