Django错误配置导致Secret API Key泄露、数据库密码泄露

今天是4月3日星期二，今天早餐铺的内容有：思科产品出现严重漏洞，导致大量设备面临远程攻击风险；Django错误配置导致Secret API Key泄露、数据库密码泄露；苹果修补了产品线上的数十个漏洞；Airbnb与中国监管机构共享房东信息；中国电信营业厅App被指索要70多项权限；360联手广州大学创新安全人才培养模式。

思科在其IOS软件中修补了30多个漏洞，其中包括一个严重的远程代码执行漏洞，该漏洞可以对数十万甚至数百万台设备暴露在网络上的设备发起的远程攻击。

共有三个漏洞被评为关键。其中之一是CVE-2018-0171，Embedi的研究人员在IOS和IOS XE软件的Smart Install功能中发现了这个漏洞。

没有权限的攻击者可以将特定的Smart Install消息发送到TCP端口4786上的受影响设备，并导致其进入拒绝服务（DoS）状况或执行任意代码。

思科指出，默认情况下，Smart Install在交换机上默认启用，如果接收到了最近的更新则会在不使用该功能时自动禁用该功能。

Embedi发布了详细介绍CVE-2018-0171的博客文章。研究人员最初认为，该漏洞只能被同网络中的黑客利用。但是，互联网扫描发现，大约有250,000个易受攻击的思科设备打开了TCP端口4786。

[Freebuf]

错误配置的Django应用程序会暴露诸如API密钥，服务器密码或AWS访问凭证之类的敏感信息。

巴西安全研究人员FábioCastro表示：应用程序开发人员忘记禁用Django应用程序的调试模式。

Django是一个非常强大且可自定义的Python框架，通常用于创建基于Python的Web应用程序和应用程序后端。

研究人员通过搜索发现，网上很多应用程序的调试模式暴露了极其敏感的信息，这些信息能让黑客完全访问应用程序所有者的数据。数据的敏感程度与Django应用程序的复杂程度有关。

[BleepingComputer]

苹果本周发布了一套新的安全补丁，解决影响macOS，iOS，watchOS和tvOS以及Windows软件的数十个漏洞。

周四发布的iOS 11.3修正了40多个安全漏洞。这些漏洞会影响iPhone 5s及更高版本、iPad Air及更高版本以及iPod touch第6代。

WebKit受到的影响最大，共解决了19个漏洞。CoreFoundation、CoreText、文件系统事件、iCloud Drive、内核、邮件、PluginKit，Safari，安全和存储等组件也受到影响。

利用这些漏洞可能会让黑客能在有漏洞的设备上运行任意代码，在恶意应用程序中提权，用户界面欺骗，数据泄露，拦截加密电子邮件内容，拒绝服务，键盘记录，禁用功能，或者让设备重新启动。

[SecurityWeek]

每个国家对于各个行业的监管措施都有所不同，逐渐形成的中国特色也挡住了诸多外企在中国的发展之路，如谷歌、Facebook。近期Airbnb对宣布，在有必要的条件下，将与监管机构共享房东信息，成为继苹果将数据转存云上贵州之后的又一例子。