本週的安全性:Samba,Wormhole Crypto Heist,以及Bogus CVE

March 2, 2022March 2, 2022 | hsahuhsahu | 0 Comment | 9:01 pm

Samba有一個極其重大的漏洞,CVE-2021-44142,該CVE-2021-44142剛剛在新版本中修補了4.13.17,4.14.12,以及4.15.5。由STRENDMICORO的研究人員發現,這種未經認證的RCE錯誤在CVSS 9.9中評估。儲蓄恩典是它需要啟用的水果VFS模塊,該模塊用於支持麥斯卡斯特客戶端以及服務器互操作。如果已啟用,則默認設置易受攻擊。狂野中尚未在野外看到攻擊,但是繼續更新,因為PoC代碼很快就會減少。

加上蟲洞

一個值得注意的賣點到加密貨幣以及WEB3是明智的合同,位電腦程序直接在區塊鏈上運行,可以在沒有乾預的情況下重新定位左右的資金。它很快結束顯而易見的是,耀眼的缺點是這些是可以在沒有乾預的情況下極快地重新定位金錢的計算機程序。本週還有一個明智的合同中的一個例子,當攻擊者通過蟲洞橋偷走了3.26億美元的以3.26億美元。加密電機橋是一種服務,如兩個不同的區塊鏈上的鏈接明智的合同存在。這些合同讓您在一方面放入貨幣,以及將貨幣有效地將貨幣轉移到不同的區塊鏈中。協助我們弄清楚出錯的是[kelvin fichter],同樣被正確理解為[SmartContracts]。

當橋樑進行轉移時,令牌在一個區塊鏈上沉積在明智的合同中,以及產生傳輸消息。此消息就像數字檢查帳戶檢查,您將乘坐橋的另一邊以現金。橋的另一端驗證了“檢查”的簽名,以及任何匹配,您的資金顯示出來。問題是,一個人的一側橋,驗證例程可能由偽例例,最終用戶,以及代碼沒有捕獲它。

這是一個熱門的檢查騙局。攻擊者製作了一種欺騙的轉移消息,提供了虛假驗證程序,以及橋接器接受了真實的。大多數錢被轉移回到了這座橋上,其中舉行了其他用戶的有效令牌,以及攻擊者走了90,000名歐洲人權令牌。

沒有9.8 cve那不是

處理安全性和安全報告可能具有挑戰性。例如,英語不是每個人都是第一語言,所以當電子郵件有拼寫以及語法錯誤時,拒絕它會很簡單,但在某些情況下,這些電子郵件真正地通知您嚴重問題。以及在某些情況下,您獲得了一份報告,因為某人第一次找到了Chrome的DevTools,並且不承認區域修改並未向其他人提供服務。

CVE-2022-0329是其中之一。關注的捆綁是Python庫,Loguru,它擁有“Python日誌記錄(愚蠢)簡單”。在伐木庫中的一個主要cve?網絡短暫統稱為一個LOG4J樣式問題。然後,更多人開始看看漏洞報告以及錯誤報告,以及對問題的有效性的施法問題。所以,CVE已被撤銷。究竟是如何被評為如此高的安全和安全問題的非錯誤和安全問題,即Github甚至發送了自動通知它?

理論漏洞是一個反序列化問題,其中包括作為邏輯依賴性的泡菜庫不安全地將不受信任的數據進行反序列化。這是一個有效的問題,但報告未能以危險的方式究竟如何能夠以危險的方式啟用不受信任的數據。

這裡有一個想法,“氣密艙口”。在任何類型的CodeBase或系統中,將有一個點,其中操縱程序數據可能導致代碼執行。在進行已經在該程序管理的攻擊需求時,這在密閉艙口後面。在這種情況下,如果您可以開發泡沫的項目將反序列化,則您已經有任意代碼執行。這並不是說明它永遠不適合修復這樣的實例,但這是代碼硬化,而不是修復漏洞。

這就是這在鐵軌的地方。 [delgan],Loguru背後的設計師被說服了這不是一個真正的脆弱性,但他希望在這個想法周圍做一些代碼,所以標記了原始漏洞報告。這將自動化機械設置為動作,以及CVE發布。基於這個問題的天真的理解,CVE被設置為非常嚴重,也許同樣是一種自動化的行動。這種自動化的狂潮繼續所有方法到Github諮詢,在某人最後介入之前,並將權力削減到控制權自動化ñ。

Windows EOP POC.

1月份,Microsoft修補了CVE-2022-21882,Win32 Windows代碼中的權限升級。不要讓那招你,它也存在於64位版本的Windows中。如果您落後於您的更新,您可能希望忙碌,因為概念驗證現已為此錯誤丟棄。這已被報告為補丁旁路,使其基本上是CVE-2021-1732的完全相同的潛在問題。

Qnap需要推動更新

和個人被勾選
QNAP以及其他NAS生產商已經需要加強安全和安全遊戲,因為這些風格的小工具已最終尚未對贖金盜賊進行更具吸引力的目標。因此,當QNAP發現正在進行的“Deadbolt”惡意軟件活動中被剝削的缺陷時,它們選擇強制向啟用自動更新的每個人的更新。這意味著在更新通常安裝的情況下以及請求同意重新啟動時,這會自發地重新啟動,或許在最壞情況下觸發數據丟失。

QNAP在主題的紅線線程中提供了他們的想法,以及關於這項工作的恰恰恰當的爭議。至少一個人相當強調這種功能被禁用,以及更新仍然自動安裝。這是怎麼回事?

有一個官方的答案。在早期更新中,添加了一個新功能,建議的版本。這是一個自動更新,但只有在有一個主要問題時。這是啟用所需的設置,以及它默認為ON。 (公平地,它是在補丁筆記中。)處理像這樣的設備的更新總是困難的,以及勒索軟件的迫在眉睫的風險使其甚至是貼滿。

那麼你覺得什麼,Qnap只是照顧客戶嗎?或者這是類似於Arthur Dent’s House損壞的通知,在一個鎖著的銼刀底部出版的地下室,被困在一個廢棄的廁所,陳述’注意豹子。’?讓我們在評論中理解,或者如果不和諧是您的事情,那麼新的頻道專門用於列!

Leave a Reply

Your email address will not be published. Required fields are marked *

Related Post

Latice ICE40 FPGA由Linux內核Latice ICE40 FPGA由Linux內核

配置Linux內核剛剛通過FPGA Manager框架添加了對FPGA的包裝固件的支持。 [Opentechlab]已開發出司機ICE40 FPGA(在ICESTICK上使用的芯片以及其他進步板)的司機。對ICE40的一個吸引力是有一個名為ICEStorm的開源工具密封。 即使您沒有特別考慮FPGA,也討論Linux小工廠司機是很棒的背景。原則將適用於其他驅動程序,如果要撰寫一個更FPGA裝載機,那麼肯定會適用。 該示例利用與評估板相關的覆盆子PI。一款實惠的基於SIGROUK的邏輯分析儀讓他排除故障以及調試。如果您認為FPGA進步昂貴,請再次思考。這裡利用的董事會在50美元之下以及軟件應用程序是免費的。一個iCestick甚至更便宜,也很可能在這里工作。然而,您可能擁有其他比特,但即使您要求購買PI以及邏輯分析儀,整件事件為100美元。 我們已經覆蓋了克里斯特克和iceStorm,而是過去有點。同樣是覆盆子PI的少數ICE40板應該與此合作,包括這一點。

READ MOREREAD MORE

慣性導航系統慣性導航系統

概述船舶依賴於GPS以識別其位置 – 甚至在諸如Loran等無線電導航系統之前,船隻依賴於仍然令人印象深刻的複雜暗示其位置:慣性導航。該理論很簡單:如果您在船上保留一些非常準確的陀螺儀和加速度計,您將能夠計算您相對於您之前的位置的位置。因為電子陀螺和加速度計到處都是,[塞巴斯蒂安]認為他會在創建自己的慣性導航系統時。 使用此方法的困難是每個陀螺總是有一些錯誤。由於來自陀螺儀和加速度計的測量值集成在一起,因此誤差也集成,導致隨著時間的推移,導致將定位誤差增強。通過一些智能算法和非常好的傳感器,可以減少此錯誤。 [塞巴斯蒂安]沒有真正的硬件 – 他只是使用加速度計/陀螺突破板,足以用於實驗目的。在使用Arduino讀取加速度計數據後,他能夠捕獲所有傳感器數據並將其讀入Python腳本。 下一步是弄清楚一個良好的算法來集成所有傳感器數據,並可能添加氣壓計和磁指南針,以便更好地補償錯誤。該項目仍處於早期階段,但看到慣性導航系統是如何20世紀初的工程勝利之一,我們熱切期待任何進度更新。

READ MOREREAD MORE