今天是4月3日星期二，今天早餐铺的内容有：思科产品出现严重漏洞，导致大量设备面临远程攻击风险；Django错误配置导致Secret API Key泄露、数据库密码泄露；苹果修补了产品线上的数十个漏洞；Airbnb与中国监管机构共享房东信息；中国电信营业厅App被指索要70多项权限；360联手广州大学创新安全人才培养模式。

【安全事件】

思科产品出现严重漏洞，导致大量设备面临远程攻击风险

思科在其IOS软件中修补了30多个漏洞，其中包括一个严重的远程代码执行漏洞，该漏洞可以对数十万甚至数百万台设备暴露在网络上的设备发起的远程攻击。

共有三个漏洞被评为关键。其中之一是CVE-2018-0171，Embedi的研究人员在IOS和IOS XE软件的Smart Install功能中发现了这个漏洞。

没有权限的攻击者可以将特定的Smart Install消息发送到TCP端口4786上的受影响设备，并导致其进入拒绝服务（DoS）状况或执行任意代码。

思科指出，默认情况下，Smart Install在交换机上默认启用，如果接收到了最近的更新则会在不使用该功能时自动禁用该功能。

Embedi发布了详细介绍CVE-2018-0171的博客文章。研究人员最初认为，该漏洞只能被同网络中的黑客利用。但是，互联网扫描发现，大约有250,000个易受攻击的思科设备打开了TCP端口4786。

[Freebuf]

Django错误配置导致Secret API Key泄露、数据库密码泄露

错误配置的Django应用程序会暴露诸如API密钥，服务器密码或AWS访问凭证之类的敏感信息。

巴西安全研究人员FábioCastro表示：应用程序开发人员忘记禁用Django应用程序的调试模式。

Django是一个非常强大且可自定义的Python框架，通常用于创建基于Python的Web应用程序和应用程序后端。

研究人员通过搜索发现，网上很多应用程序的调试模式暴露了极其敏感的信息，这些信息能让黑客完全访问应用程序所有者的数据。数据的敏感程度与Django应用程序的复杂程度有关。

[BleepingComputer]

苹果修补了产品线上的数十个漏洞

苹果本周发布了一套新的安全补丁，解决影响macOS，iOS，watchOS和tvOS以及Windows软件的数十个漏洞。

周四发布的iOS 11.3修正了40多个安全漏洞。这些漏洞会影响iPhone 5s及更高版本、iPad Air及更高版本以及iPod touch第6代。

WebKit受到的影响最大，共解决了19个漏洞。CoreFoundation、CoreText、文件系统事件、iCloud Drive、内核、邮件、PluginKit，Safari，安全和存储等组件也受到影响。

利用这些漏洞可能会让黑客能在有漏洞的设备上运行任意代码，在恶意应用程序中提权，用户界面欺骗，数据泄露，拦截加密电子邮件内容，拒绝服务，键盘记录，禁用功能，或者让设备重新启动。

[SecurityWeek]

【国内新闻】

Airbnb与中国监管机构共享房东信息

每个国家对于各个行业的监管措施都有所不同，逐渐形成的中国特色也挡住了诸多外企在中国的发展之路，如谷歌、Facebook。近期Airbnb对宣布，在有必要的条件下，将与监管机构共享房东信息，成为继苹果将数据转存云上贵州之后的又一例子。

如果我是Airbnb的负责人，我也会选择接受。毕竟，中国已经成为Airbnb在全球范围内增长最快的市场。从3月29日开始，Airbnb用户的邮箱逐渐接收到官方的邮件，公开表示为服从监管，将从3月30日开始向相关机构披露提供短租服务的中国房东信息，并且不向用户提供进一步通知。

[Freebuf]

360联手广州大学创新安全人才培养模式

3月30日，广州大学与360企业安全集团正式签署战略合作协议。双方将基于当前新安全时代的特征，把网络安全竞赛引入日常教学，创新符合时代需求的人才培养模式，力争解决网络安全行业“人才荒”问题。

第四次工业革命带领人类社会进入智能时代，网络安全从信息和财产安全向国家和社会安全升级，网络空间面临全新挑战。网络安全的本质是人与人之间的攻防对抗，人才是制胜关键。数据显示，我国网络安全行业“人才荒”形势严峻，当下网络安全人才的缺口达70万，2020年缺口将达140万。与此同时，目前的网络安全人才培养模式缺乏攻防实践，难以满足新安全时代的实战需求。

对此，双方计划打造泛CTF的创新培养模式。CTF是网络安全领域流行的一种攻防技术竞赛形式，起点较高。泛CTF培养模式即通过对竞赛题型进行细粒度分解，由简到难形成阶梯，降低入门门槛；同时，结合网络安全实践需求，培养攻防兼备的网络安全人才，提升网络安全实战能力。

中国工程院院士方滨兴表示，网络安全人才培养应依托网络靶场提供开放的实践环境，形成攻防兼备、以实践为主导的技能体系。网络安全人才技能认证评价体系的构建，不能简单按照本科、硕士和博士证书来认证。

[中新网]

中国电信营业厅App被指索要70多项权限

一款普通的手机浏览器，不开启定位权限就无法正常使用；一个普通的手机输入法，拒绝它收集你的信用卡号和密码等个人信息就不给你用……继手机APP被媒体曝光过度获取用户权限后，一些软件开发者不仅没有改正错误，还耍起了“强制索权”的蛮横。是用户真的“对隐私不敏感”，还是没有选择余地？新华社记者对时下流行的一些APP进行了随机测试。

“我想掌握自己的流量使用情况，所以下载了一个电信营业厅APP，结果要使用它我还得授权它读取我的通话记录，允许它拨打电话，甚至允许它修改我的通话记录。”提到新近下载的这款掌上营业厅，杭州的胡先生显得非常生气。

记者在华为应用商城中搜索这款名为“电信营业厅”的APP时发现，该APP有1亿次的安装数量，综合评分为两星半。在下载该软件并安装完成后，APP弹窗提示记者：

应用程序将访问传输手机号码、IMSI、IMEI、MEID、手机型号等设备信息，系统验证通过后提供安全免密登陆、读取用户位置信息、读取手机通讯录、获取通话记录、拨打电话、发短信、修改联系人、调用摄像头、改变WLAN状态及录音等权限。如用户点击不同意，则自动退出该应用。

在记者点击同意后，该应用又提出四项用户授权，分别是：存储、电话、通讯录和位置信息。在申请电话权限时，对话框下方小字注明“具体包括：读取本机识别码、读取通话记录、拨打电话、新建／修改／删除通话记录等权限。”在记者点击“禁止”按钮后，该APP弹出对话框显示“请在应用信息－权限中开启电话权限，以正常使用。”也就是说，用户一旦拒绝授予该权限，则整个应用都无法使用。

在实际测试中，如用户不授权电信营业厅APP“读取并修改通话记录”，则该APP无法正常使用。

同样的问题也出现在申请通讯录使用权限上，系统提示该权限包括：读取联系人、新建／修改／删除联系人等权限。

网络安全专家在对该APP进行检测时发现，虽然用户在初次安装使用该APP时仅有4项权限提示，但是其向用户主张了70项子权限。较为敏感的子权限包含修改通讯录、读取联系人、录音、修改通话记录、拨打电话、发送短信以及下载文件并不显示通知等。

[CnBeta]