各位Buffer早上好，今天是2019年6月10日星期一。今天的早餐铺内容主要有：全新的RCE漏洞影响了近一半电子邮件服务器；思科修复多款工业和企业软件中的高危漏洞；iOS 13与macOS 10.15不再支持SHA-1证书；Facebook将运营加密货币网络：收费1000万美元/节点；FCC：自动语音电话每年至少使美国消费者损失30亿美元。

安全资讯早知道，三分钟听完最新安全快讯~

全新的RCE漏洞影响了近一半电子邮件服务器

Qualys的安全研究人员透露，一个关键的远程命令执行（RCE）安全漏洞影响了超过一半的互联网电子邮件服务器。该漏洞影响Exim，一种邮件传输代理（MTA）服务，用于将电子邮件从发件人中继到收件人。根据2019年6月对互联网上可见的所有邮件服务器的调查，57％（507,389）的电子邮件服务器运行Exim服务，还有报告称实际数量为该数字的10倍，即540万。

该漏洞允许本地或远程攻击者以root用户身份在Exim服务器上运行命令并接管系统。在发给Linux发行版维护者的电子邮件中，Qualys表示该漏洞“非常容易被利用”，并预计攻击者会在未来几天内提出漏洞利用代码。[来源：zdnet]

思科修复多款工业和企业软件中的高危漏洞

思科修复了Cisco Industrial Network Director（IND）软件的更新功能和Cisco Unified Presence（Cisco Unified CM IM＆P服务，Cisco VCS和Cisco Expressway系列）的身份验证服务中发现的两个高危漏洞。

影响Cisco IND的远程代码执行（RCE）漏洞被跟踪为CVE-2019-1861，它可允许潜在的经过身份验证的远程攻击者在计算机上执行任意代码。思科安全公告称，“该漏洞是由于对上传到受影响应用程序的文件进行了不正确的验证”。另外一个是Cisco Unified Presence的身份验证服务漏洞，被命名为CVE-2019-1845，该漏洞使得未经身份验证的远程攻击者能够在服务器上停用用户创建的服务，从而触发拒绝服务（DoS）条件。[来源：bleepingcomputer]

iOS 13与macOS 10.15不再支持SHA-1证书

由于旧版哈希算法不再安全，业内在 2017 年掀起了抛弃 SHA-1 TLS 证书的运动。微软、谷歌、Mozilla 起到了很好的表率作用，并鼓励大家迁移到更安全的 SHA-2 或 SHA-3 证书，然而苹果却迟迟没有采取行动。好消息是，在开发者大会（WWDC 2019）之后，该公司在新版支持页面上写到，iOS 13 和 macOS 10.15 Catalina，已正式抛弃采用 SHA-1 算法签名的证书。

苹果在官方支持页面上写到：

使用 RSA 密钥的 TLS服务器证书和颁发机构（CA），必须使用 ≥ 2048 位的密钥，TLS 将不再信任使用 < 2048 位的 RSA 密钥证书。

TLS 服务器和 CA 必须使用基于 SHA-2 的哈希算法，TLS 不再信任 SHA-1 签名的证书。

TLS 服务器证书必须在‘主体别名’（Subject Alternative Name）扩展名中显示服务器的 DNS 名称，常用名（CommonName）中的 DNS 名称将不再被信任。

[来源：zdnet]

Facebook将运营加密货币网络：收费1000万美元/节点

Facebook计划向各公司收取1000万美元来获取它们在其未来加密货币网络上的节点运营服务。据悉，该社交网络公司最早可能会在2020年推出自己的加密货币。Facebook的目标是推出拥有100个节点的网络。每个节点的运营许可费将为1000万美元，这意味着Facebook从这项业务将能得到10亿美元的营收。

另外据称，Facebook已经联系了数家科技公司和金融机构来为该基金会提供资金并为网络管理提供帮助。Facebook还打算为其加密货币推出实体ATM机。Facebook在瑞士成立了一家专注于支付和区块链的公司。由于其加密货币将与美元挂钩，所以它不大可能会像比特币在2017年出现崩盘的情况。[来源：zdnet]

FCC：自动语音电话每年至少使美国消费者损失30亿美元

根据美国联邦通信委员会（Federal Communications Commission）的数据，自动语音电话（RoboCall）不仅令人烦恼，而且每年至少花费美国消费者30亿美元。该监管机构在周三的一篇博客文章中表示，“非法自动语音电话不仅仅会耗尽个人家庭的耐心，而且还会消耗我们的经济。” 该机构表示，YouMail的最新数据显示，仅在2019年3月，就有25亿个非法自动语音电话。FCC估计，这些呼叫每年对消费者造成的损失可能至少为30亿美元。该机构称，这一估计数可能很低，因为它不包括欺诈造成的金钱损失。[来源： cnbeta]