Aggregator

**TALLINN, Estonia, November 20th, 2024/Chainwire/--**Following its global unveiling on the main sta

D-Link 发布了一则安全公告，涉及多款报废 (EOL) 和服务终止 (EOS) 路由器型号，包括 DSR-150、DSR-150N、DSR-250 和 DSR-250N。该公告强调了一个堆栈缓冲区溢出漏洞，该漏洞可能允许未经认证的用户执行远程代码。此关键问题影响运行固件版本 3.13 至 3.17B901C 的这些传统路由器的所有硬件版本。 自 2024 年 5 月 1 日起，D-Link 不再支持或修补这些型号。根据公告，“达到 EOL/EOS 的产品不再接收设备软件更新和安全补丁，D-Link 美国公司也不再提供支持”。 报告的漏洞是堆栈缓冲区溢出，这是一个常见但严重的漏洞，可导致远程代码执行（RCE）。这使得攻击者有可能在没有验证的情况下完全控制设备。受影响的型号包括 DSR-150： 所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-150N：所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-250： 所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-250N：所有硬件版本，固件版本 3.13 至 3.17B901C。 鉴于漏洞的严重性，D-Link 已声明不会为这些型号提供固件更新或补丁，因为它们的支持生命周期已经结束。 D-Link 强烈建议用户淘汰和更换这些路由器。该公司强调：“D-Link 美国公司建议退役和更换已达到 EOL/EOS 的 D-Link 设备。”继续使用不支持的设备会使网络暴露于关键漏洞，增加数据泄露的风险。 对于不确定其设备是否受影响的用户，D-Link 建议通过公告中提供的旧版网站链接检查其型号和固件版本。     转自安全客，原文链接：https://www.anquanke.com/post/id/302053 封面来源于网络，如有侵权请联系删除

美国政府问责局（GAO）19日发布报告指出，联邦机构可能需要重新审视其个人数据处理方式，以更好地保护公众的公民权利和自由。 报告指出，由于缺乏联邦层面的指导原则，联邦机构在数据收集、共享和使用方面形成了一系列零散的政策体系，无法系统性地保障公民权利和自由。 为了解决这一问题，政府问责局建议国会指定“一个适当的联邦机构”，为数据保护制定适用于所有联邦机构的统一指导方针或法规。同时，该机构应被赋予“明确的权限，能够做出必要的技术和政策决策；或者由国会直接明确相关政策选择。” 这一建议基于政府问责局向《首席财务官（CFO）法案》覆盖的24个联邦机构发放问卷后的调查结果。问卷内容涉及这些机构在使用新兴技术和数据能力时的情况，以及它们为确保个人可识别信息的安全所采取的措施。 政府问责局的调查发现，在这24个CFO法案机构中，有16个已经制定了相关政策或程序，以保护公民权利和自由；而另有8个机构尚未采取类似措施。 在这些机构努力保护公众公民权利和自由的过程中，最常遇到的问题包括“新兴技术相关保护措施的复杂性”以及“缺乏具有公民权利、自由保障和新兴技术所需技能的合格人员”。 政府问责局在报告中写道：“此外，这24个机构中有8个认为，额外的政府层面的法律或指导方针能够提高在保护公民权利和自由方面的一致性。一家机构指出，这类指导方针可以帮助消除目前在数据和技术治理方面存在的零散现象。” 报告还指出，这些机构内部均设有办公室，负责“依据联邦法律处理公众公民权利保护相关问题”。这些工作主要集中在处理公民权利的违规行为及相关投诉上。其中，国防部、国土安全部、司法部和教育部等4个机构专门设立了负责管理机构范围内公民自由保护的办公室。而其余20个机构则大多采用“分散化的方法”，通过在数据收集、共享和使用过程中实施保护措施来维护公民自由。 对于政府问责局的这份报告，这些机构并未明确表示支持或反对。不过，住房和城市发展部、社会保障管理局以及美国国际开发署提供了书面反馈，另有10个机构向问责局提交了技术性意见。     转自安全内参，原文链接：https://www.secrss.com/articles/72574 封面来源于网络，如有侵权请联系删除

The U.S. Justice Department has charged five suspects believed to be part of the financially

A vulnerability has been found in Ericsson Network Location MPS GMPC21 and classified as critical. This vulnerability affects unknown code of the component Export Handler. The manipulation of the argument file_name leads to command injection. This vulnerability was named CVE-2021-43339. The attack can only be initiated within the local network. Furthermore, there is an exploit available.

苹果生态已成零日攻击高发地带

Microsoft this week launched

Five local privilege escalation (LPE) vulnerabilities have been discovered in the needrestar

定期观察和评估网络基础设施中计算机服务器的功能、可访问性和总体状况的过程称为服务器监控。监控服务器通常涉及监控如CPU消耗、内存使用、磁盘空间使用、网络流量、服务器响应时间和应用程序可用性等变量。这些测量可以让管理员发现故障，防止停机，并提升服务器性能。服务器监控工具可以自动处理过程，收集数据，生成警报或通知，并提供分析信息和报告，以便管理员做出智能决策并采取行动。选择服务器监控工具需考量的因素选

此功能可让 Palo Alto Panorama 用户有效地“跳入”连接的 SSLVPN/防火墙设备 - 如上所示，无需实际身份验证。

A race condition vulnerability in Apple’s WorkflowKit has been identified, allowing malicious applications to intercept and manipulate shortcuts on macOS systems. This vulnerability, cataloged as CVE-2024-27821, affects the shortcut extraction and generation processes within the WorkflowKit framework, which is integral to the Shortcuts app on macOS Sonoma. macOS WorkflowKit Race Vulnerability The vulnerability arises from […]

The post macOS WorkflowKit Race Vulnerability Allows Malicious Apps to Intercept Shortcuts appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.

When we perform security assessments at Include Security, we like to have a holistic view of th

那些非常好用的红队工具正在被滥用于日益增长的攻击中，因为越来越多的黑客开始寻求非技术性和暴力破解方法。

Cybersecurity Training and Education Must Evolve to Keep Pace With the Profession
Over the past few decades, cybersecurity has evolved from a niche concern into a global priority, creating a vast and dynamic career field. While we celebrate the journey, let's also focus on how today's cybersecurity professionals will shape the future.

LA County Clinic Delayed Access to Patient's Medical Records During Pandemic
Federal regulators have fined a Los Angeles county mental health clinic $100,000 for failure to provide a patient with timely access to her requested health records during the COVID-19 pandemic. The case is the U.S. government's 51st HIPAA patient right-of-access enforcement action.

Military Says Ship-to-Shore Cranes Made in China Include Dangerous Security Flaws
The United States Coast Guard is continuing to warn of significant security risks embedded in ship-to-shore cranes developed by companies with ties to Beijing while issuing new sensitive requirements for ports operating Chinese-made cranes across the country.