歡迎光臨
每天分享高質量文章

每日安全資訊:安全人員在 Wi-Fi WPA3 標準中發現了降級漏洞 | Linux 中國

如果被利用,漏洞將允許在受害者網絡範圍內的攻擊者獲得 Wi-Fi 密碼並滲透標的網絡。

— 安華金和

 

兩位安全研究人員近日披露了一組漏洞,這些漏洞統稱為 Dragonblood,影響了 WiFi 聯盟最近發佈的 WPA3 Wi-Fi 安全和認證標準。如果被利用,漏洞將允許在受害者網絡範圍內的攻擊者獲得 Wi-Fi 密碼並滲透標的網絡。

Dragonblood 漏洞組總共有五個漏洞,包括一個拒絕服務攻擊漏洞、兩個降級攻擊漏洞和兩個側通道信息泄漏漏洞。儘管拒絕服務攻擊漏洞並不重要,因為它只會導致與 WPA3 兼容的訪問點崩潰,但其他四個攻擊可以用於獲得用戶密碼。

兩個降級攻擊和兩個側通道泄漏漏洞都利用了 WPA3 標準 Dragonfly 密鑰交換中的設計缺陷,即客戶端在 WPA3 路由器或接入點上進行身份驗證的機制。

在降級攻擊中,支持 WiFi WPA3 的網絡可以誘導設備使用更舊、更不安全的密碼交換系統,從而允許攻擊者使用舊的漏洞檢索網絡密碼。

在側通道信息泄漏攻擊中,支持WiFi WPA3的網絡可以欺騙設備使用較弱的演算法,這些演算法會泄漏少量有關網絡密碼的信息。通過反覆的攻擊,最終可以恢復完整的密碼。

來源:cnBeta.COM

更多資訊

中國蟻劍被曝 XSS 漏洞,可導致遠程命令執行

4 月 12 日凌晨,有用戶在中國蟻劍 GitHub 上提交了 issue,稱發現中國蟻劍存在 XSS 漏洞,藉此可引起 RCE。據悉,該漏洞是因為在 webshell 遠程連接失敗時,中國蟻劍會傳回錯誤信息,但因為使用的是 html 解析,導致 xss 漏洞。

來源: FreeBuf.COM

詳情: http://t.cn/E6su7SJ

歐盟向 Archive.org 發出數百份錯誤的“恐怖主義內容刪除通知”

在近日的一篇博客文章中,該組織解釋說,在過去的一周里,它收到了來自歐盟的 550 多封刪除通知,這些通知錯誤地將 archive.org 上的數百個網址識別為“恐怖宣傳”。

來源: cnBeta.COM

詳情: http://t.cn/E6suUwE

美國司法部指控阿桑奇入侵機密電腦 最多入獄五年

美國司法部剛剛宣佈,對維基解密聯合創始人朱利安·阿桑奇提起刑事訴訟,指控他密謀入侵美國政府的一臺機密電腦。美國司法部在一份宣告中稱:“這項起訴與阿桑奇被指控在美國曆史上最大規模的機密信息泄露事件(之一)中扮演的角色有關。”

來源: 新浪網

詳情: http://t.cn/E6suMTQ

PostgreSQL 闢謠存在任意代碼執行漏洞:訊息不實

近期在互聯網媒體上流傳 PostgreSQL 存在任意代碼執行的漏洞:擁有 ‘pg_read_server_files’ 權限的攻擊者可利用此漏洞具備超級用戶權限,執行任意系統命令。

來源:開源中國

詳情:http://t.cn/E6suSIB

(信息來源於網絡,安華金和搜集整理)

已同步到看一看
赞(0)

分享創造快樂