每日安全资讯：开源组件漏洞影响多个 CMS 系统 | Linux 中国

运行 Drupal、Joomla 或 Typo3 系统的网站需要及时打上补丁。

-- 安华金和

作者：安华金和

运行 Drupal、Joomla 或 Typo3 系统的网站需要及时打上补丁。编号为 CVE-2019-11831 的漏洞位于 PHP 组件 PharStreamWrapper 中，源于一个路径遍历 bug，允许攻击者用恶意的 phar 归档替换网站的合法相同文件。Drupal 开发者将这个漏洞标记中等危险级别，尽管不是高危，网站管理员还是应该尽可能快的打上补丁。发现该漏洞的安全研究员认为该漏洞属于高危。运行 Drupal 8.7 的网站需要升级到 8.7.1，8.6 或更早版本的网站需要更新到 8.6.16，7 需要升级到 7.67。Joomla 需要升级到 3.9.6。

来源：solidot.org

更多资讯

报告称忠诚度计划是“黑客的蜜罐”

使用可以在用户最喜欢的餐馆或服装店节省几美元的忠诚度应用程序似乎是无害的。然而根据《纽约时报》上周六的报道，这正是黑客所依赖的 。据《纽约时报》报道，一个安全组织估计，每年因在线忠诚计划相关犯罪而损失10亿美元。此外，根据Javelin战略与研究公司的说法，此类犯罪从2017年到2018年翻了一番。

来源： cnBeta.COM

详情： http://t.cn/EKiZ8Eg 

研究人员拟公开来自政府、可能会被遗忘的网络攻击历史记录

据外媒报道，1989年，就在网络成为现实的几个月后，一种计算机蠕虫感染了全世界全球成千上万台计算机，其中包括了NASA的计算机。蠕虫病毒在受感染电脑的屏幕上显示一条信息:“你的系统已被正式 WANKed。”

来源： cnBeta.COM

详情： http://t.cn/EKiZmLN 

德国网络安全局警告卡巴斯基杀毒软件存在安全缺陷

德国网络安全机构 BSI 就卡巴斯基杀毒软件的安全漏洞发出警告，建议用户尽快安装最新补丁。虽然该建议不包括基于该缺陷可能网络攻击的任何详细信息，但BSI警告说，黑客只需向其目标发送包含特制文件的恶意电子邮件，在某些情况下，甚至不需要打开该文件。

来源： cnBeta.COM

详情： http://t.cn/EKiZ1zJ 

日本母公司遭黑客袭击 46 万客户信息泄露 而国内优衣库却这样说

日本迅销公司 5 月 14 日发布声明说，旗下品牌优衣库、GU 销售网站逾 46 万名客户个人消息遭未授权访问，可能造成信息泄露。优衣库方面当天对北京青年报记者表示，经调查，此次事件不涉及中国的网站及信息平台。

来源： 北青网

详情： http://t.cn/EKiZDBP 

（信息来源于网络，安华金和搜集整理）