每日安全資訊：安全人員在 Wi-Fi WPA3 標準中發現了降級漏洞

兩位安全研究人員近日披露了一組漏洞，這些漏洞統稱為 Dragonblood，影響了 WiFi 聯盟最近釋出的 WPA3 Wi-Fi 安全和認證標準。如果被利用，漏洞將允許在受害者網路範圍內的攻擊者獲得 Wi-Fi 密碼並滲透目標網路。

Dragonblood 漏洞組總共有五個漏洞，包括一個拒絕服務攻擊漏洞、兩個降級攻擊漏洞和兩個側通道資訊洩漏漏洞。儘管拒絕服務攻擊漏洞並不重要，因為它只會導致與 WPA3 相容的訪問點崩潰，但其他四個攻擊可以用於獲得使用者密碼。

兩個降級攻擊和兩個側通道洩漏漏洞都利用了 WPA3 標準 Dragonfly 金鑰交換中的設計缺陷，即客戶端在 WPA3 路由器或接入點上進行身份驗證的機制。

在降級攻擊中，支援 WiFi WPA3 的網路可以誘導裝置使用更舊、更不安全的密碼交換系統，從而允許攻擊者使用舊的漏洞檢索網路密碼。

在側通道資訊洩漏攻擊中，支援WiFi WPA3的網路可以欺騙裝置使用較弱的演算法，這些演算法會洩漏少量有關網路密碼的資訊。透過反覆的攻擊，最終可以恢復完整的密碼。

來源：cnBeta.COM

更多資訊

中國蟻劍被曝 XSS 漏洞，可導致遠端命令執行

4 月 12 日凌晨，有使用者在中國蟻劍 GitHub 上提交了 issue，稱發現中國蟻劍存在 XSS 漏洞，藉此可引起 RCE。據悉，該漏洞是因為在 webshell 遠端連線失敗時，中國蟻劍會返回錯誤資訊，但因為使用的是 html 解析，導致 xss 漏洞。

來源： FreeBuf.COM

詳情： http://t.cn/E6su7SJ 

歐盟向 Archive.org 發出數百份錯誤的“恐怖主義內容刪除通知”

在近日的一篇部落格文章中，該組織解釋說，在過去的一週裡，它收到了來自歐盟的 550 多封刪除通知，這些通知錯誤地將 archive.org 上的數百個網址識別為“恐怖宣傳”。

來源： cnBeta.COM

詳情： http://t.cn/E6suUwE 

美國司法部指控阿桑奇入侵機密電腦 最多入獄五年

美國司法部剛剛宣佈，對維基解密聯合創始人朱利安·阿桑奇提起刑事訴訟，指控他密謀入侵美國政府的一臺機密電腦。美國司法部在一份宣告中稱：“這項起訴與阿桑奇被指控在美國曆史上最大規模的機密資訊洩露事件（之一）中扮演的角色有關。”

來源： 新浪網

詳情： http://t.cn/E6suMTQ  

PostgreSQL 闢謠存在任意程式碼執行漏洞：訊息不實

近期在網際網路媒體上流傳 PostgreSQL 存在任意程式碼執行的漏洞：擁有 ‘pg_read_server_files’ 許可權的攻擊者可利用此漏洞具備超級使用者許可權，執行任意系統命令。

來源：開源中國

詳情：http://t.cn/E6suSIB

（資訊來源於網路，安華金和蒐集整理）