链闻 ChainNews 诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。举报

安全

安全快讯, 区块链安全, 安全是什么, 安全介绍, 安全解读, 安全项目, 三分钟了解安全, 秒懂安全, 如何评价安全, 安全怎么样, 安全创始人, 安全招聘, 安全融资, 安全价格, 安全技术, 安全社区, 安全论坛, 安全浏览器, 安全排名, 安全白皮书, 安全本质, 安全意义, 安全代码, 安全游戏, 安全什么意思, 安全学习, 安全培训, 安全教程, 安全投资, 安全赚钱, 安全安全, 安全漏洞

Bybit 首席安全官:区块链应用场景下安全的本质并没有发生大的变化

链闻消息,Bybit 首席安全官 Benjamin 在「金色沙龙-全球应用安全加速」主题峰会上表示,「从安全从业者角度来讲,区块链应用场景下安全的本质并没有发生大的变化,安全还是保护用户、保护公司数据和资产、保护公司品牌,安全技术也还是实现保密性、可用性和完整性。与金融或者互联网领域相比,安全比较大的一个区别是区块链场景与链下结合时用户隐私保护,这将更富有挑战性。」此次大会主要围绕区块链安全等相关主题展开讨论,除了 Bybit 首席安全官 Benjamin 之外,参与者还有阿里云高级架构师福威、HBTC 创始人巨建华等相关领域的专家。

成都链安:F5 BIG-IP 远程代码执行漏洞预警 CVE-2020-5902

漏洞威胁:高,受影响版本:BIG-IP 15.x: 15.1.0/15.0.0、BIG-IP 14.x: 14.1.0 ~ 14.1.2、BIG-IP 13.x: 13.1.0 ~ 13.1.3、BIG-IP 12.x: 12.1.0 ~ 12.1.5 和 BIG-IP 11.x: 11.6.1 ~ 11.6.5。漏洞描述:在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/ 配置实用程序的特定页面中存在一处远程代码执行漏洞。未授权的远程攻击者通过向该页面发送特制的请求包,可以造成任意 Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于 : 执行任意系统命令、开启 / 禁用服务、创建 / 删除服务器端文件等。修复方案:官方建议可以通过以下步骤暂时缓解影响(临时修复方案) 1) 使用以下命令登录对应系统 tmsh2) 编辑 httpd 组件的配置文件 edit /sys httpd all-properties3) 文件内容如下 include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '4) 按照如下操作保存文件,按下 ESC 并依次输入 :wq 5) 执行命令刷新配置文件 save /sys config 6) 重启 httpd 服务 restart sys service httpd 并禁止外部 IP 对 TMUI 页面的访问成都链安在此建议使用该应用的交易所进行安全自查,按照官方安全建议进行修复,避免造成不必要的经济损失。

Ravencoin 官方确认漏洞存在,已增发总量的 1.5%

链闻消息,Ravencoin 社区成员 CryptoScope 团队发现 Ravencoin 区块链存在漏洞,已被未知人员铸造 RVN 总量 210 亿其中的 1.5%。Ravencoin 开发者 Tron Black 表示,这些代币在被开采后可能已经被出售给市场了,因此经济损失已经被 Ravencoin 生态所吸收。官方提醒所有的矿工、矿池或交易所将客户端升级为最新版本,使用最新版本即可,而社区也在考虑各种方案减少该事件带来的后续影响,比如将减半时间提前,让总量恢复到原来计划的 210 亿。

ZenGo 披露 Ledger、BRD 和 Edge 等主流加密钱包漏洞,漏洞会使未确认的交易计入用户余额

链闻消息,加密钱包 ZenGo 发布报告称其在 Ledger、BRD 和 Edge 等主流加密货币钱包中发现了一个漏洞(命名为「BigSpender」)。该漏洞可能会使未确认的交易计入用户的总余额中,而此时,攻击者可在交易确认之前撤销该笔交易。攻击者利用了比特币协议中的一项费用替代「Replace-by-Fee」功能。该功能可通过支付更高的手续费来替换此前的一笔交易。攻击者可以连续多次使用该功能进行 BigSpender 攻击。值得注意的是,BigSpender 并不是比特币协议中的漏洞,不会让攻击者窃取比特币,但可用来混淆用户。ZenGo 已经在 90 天之前披露了该漏洞,并同意为这些钱包保密 90 天,保密期限已于 7 月 1 日到期。Ledger 和 BRD 现已向 ZenGo 授予了漏洞赏金。另外,BRD 目前已经发布了修复程序。更新:Ledger 对此回应称,这不是漏洞,只是有恶意行为者会利用该费用替代功能进行诈骗。用户的私钥、PIN 码等信息是安全的。另外,截至目前从未出现过用户被欺骗的报告。Ledger 现已更新 Ledger Live,包括提升用户体验(UX)。用户可直接验证交易状态,并会在有未确认交易的情况下接收到提示通知。

Cobo 金库公开代码审计报告,后续将实现部分安全芯片加密算法层的代码开源

链闻消息,硬件钱包 Cobo 金库公布了与区块链安全公司 PeckShield 合作进行的代码审计报告,报告指出,目前仅有的两个未修复的问题,其本身是低风险问题,未修复的原因主要是跟业务逻辑有冲突。为了能够让硬件钱包尽可能地趋近于 100% 透明可验证,接下来还有很多后续工作需要开展,比如实现部分安全芯片的加密算法层的代码开源、重新实现 ARM 芯片相关代码并开源、生产 Cypherpunk 版本 Cobo 金库,允许用户自行编译并烧录安全芯片固件以及钱包应用等。

黑客在 Uniswap 上仅用 0.9ETH 盗走价值 90 万美元的 VETH

链闻消息,Coingecko 研究人员 Daryllautk 发推称,VETH 在去中心化交易所 Uniswap 遭遇黑客攻击。黑客仅使用 0.9ETH 就盗走了 919,299 VETH (价值 90 万美元)。攻击事件发生后,VETH 官方表示,「该合约被其放置在 transferForm ()中的 UX 改进所利用,这是我们的过错。我们将重新部署 vether4,并将补偿所有受影响的 Uniswap 质押者。」

比特币侧链 Liquid Network 存在一个长期安全漏洞,Blockstream 回应称暂无资金被盗

链闻消息,比特币开发商、加密初创公司 Summa One 创始人 James Prestwich 表示,区块链初创公司 Blockstream 的比特币侧链网络 Liquid Network 存在一个长期漏洞,这可能导致上百万比特币被盗。由于时间锁(TimeLock)不一致,该安全漏洞影响了 Liquid Network 上的基本帐户。这种不一致可能会让员工通过紧急恢复流程提取比特币,只需要 3 个密钥持有者中的 2 个签署交易将绕过 multisig (多签名)进程,该进程原本需要 15 个密钥持有者中的 11 个来签署交易。据 James Prestwich 表示,该账户本周控制了 870 枚比特币 (约 800 万美元),控制时间超过一个多小时。然而,这个潜在漏洞已经存在了 18 个月,可能已经造成了数百万美元的损失,影响了 2000 多个交易输出(UTXO)。Blockstream 首席执行官 Adam Back 承认该漏洞是一个「已知问题」。他表示,一个完整的修复程序已经进行了一段时间,但由于几个原因被推迟了。他补充说,开发人员目前正在与 Liquid Federation 合作,以创建和部署最后的补丁。目前,已存在一种解决方法,它将以一种暂时且有限的方式解决这个问题。Adam Back 指出,Blockstream 对这种情况的处理「没有达到通常的信任最小化标准」。以 Blockstream 的信誉而言,实际上没有资金被窃取。此外,这个漏洞只会导致员工内部盗窃的可能性,而不是外部攻击的可能。

金融科技公司 Plaid 被指控收集 Cash App 等应用程序的数据信息

链闻消息,据 Cointelegraph 报道,金融科技公司 Plaid 面临一项集体诉讼。原告声称,Plaid 通过累积数百万用户的金融交易并将其货币化,侵犯了用户的隐私信息。原告指控 Plaid 通过「数据管道」(Data plumbing)积累 Venmo、Stripe、Square 的 Cash App 和 Robinhood 等服务的相关数据信息。链闻此前报道,今年 1 月份,Visa 宣布以 53 亿美元收购金融科技公司 Plaid。Plaid 可以通过软件接口(API)的形式为初创公司提供接入用户银行账户的服务,比如零佣金股票和加密货币交易工具 Robinhood 和加密货币交易所 Coinbase、Gemini 都是其客户。

TikTok 和其他部分应用疑似通过 iOS 剪贴板访问加密钱包地址等敏感信息,TikTok 表示将停止在 iOS 设备上访问剪贴板内容

链闻消息,据美国科技博客媒体 Ars Technica 报道,在今年 3 月份研究人员 Tommy Mysk 和 Talal Haj Bakry 发布报告表示字节跳动旗下短视频平台 TikTok 和其他一些应用会定期从 iOS 和 iPadOS 剪贴板中调出数据之后,尽管 TikTok 承诺要遏制这种做法,但其仍继续访问 Apple 用户的一些隐私数据,其中包括密码、加密货币钱包地址、帐户重置链接以及一些个人消息。许多其他应用程序也在继续访问 Apple 用户隐私信息。TikTok 代表在一份声明中写道,「自 6 月 22 日发布 iOS14 测试版以来,用户在使用许多应用程序时看到了这些通知。对 TikTok 而言,这是由旨在识别重复性垃圾邮件行为的功能触发的。我们已经向 App Store 提交了该应用程序的更新版本,其中删除了反垃圾邮件功能。TikTok 致力于保护用户的隐私。」

江西吉安中级人民法院点名多个虚拟货币骗局

链闻消息,江西吉安市中级人民法院撰文称,80% 以上的资金盘是来自美国的国际老。每推出一个新盘,在前期市场空白阶段,为提高假象的「暴增速度」来吸引投资者,他们就向市场抛售几个、十几个甚至几十个亿的报单虚拟币。同时,在前期最多回放 20% 给与参与者「兑现提款」,再由有收益的「提款成功」者传播,就能招募更多的「贪婪者」参与投资。其它 80% 资金通过各种渠道洗出境外。在吉安市中级人民法院归类虚拟货币和新概念外汇跟单为「最潮流骗局」,并点名了多个项目,包括张健五行币,下线多达 18 万人,传销头目宋密秋已被中国警方抓获;亚欧币,诈骗 40 亿元,7 万余人被骗一空;GCB 光彩币,注册会员数十万,涉案金额上亿元;EGD 网络黄金,注册会员 50 万人,涉案金额 109 亿;万福币,注册会员 13 万人,涉案金额 20 亿元;暗黑币,注册会员 3 万多人,涉案金额 15 亿;维卡币,注册会员 180 万人,涉案金额 6 亿余元;莱汇币,注册会员 20 万人,涉案金额 5 亿余元;Discovery 摸金派π、克拉币、DGC 共享币、百川币、麦格币、恒星币、Gem Coin 珍宝币、FC 赫尔币、开心理财网、蒂克币、BGB 贝格邦、BBT 金币、OFC 万维币、马克币、利阁币、雷达币、摩哈币、中国物联网数字货币中心。

OpenZeppelin 开源类似闪电贷的实验性项目 FlashWETH

链闻消息,OpenZeppelin 研究团队成员 Austin Williams 发布试验性项目「可闪电铸造的由资产支持的代币」(Flash-Mintable Asset-Backed Tokens)的以太坊合约代码,已部署至主网。该研究性项目类似于「闪电贷」,用户可以通过该合约铸造任意数量的代币,然后在同一笔交易中销毁相同数量的代币即可,否则该交易将无效。此次发布的实验项目「FlashWETH」还结合了类似 WETH 的(ERC-20 包裹版 ETH)机制,由 ETH 资产支持,所以可以用来进行套利交易。OpenZeppelin 表示该项目的合约虽然简单,但是尚未审计,谨慎使用。

报告:钓鱼攻击瞄准 Web3 DeFi 应用程序,受骗资金超 10 万美元

链闻消息,以太坊网页钱包 MyCrypto 与安全公司 PhishFort 联合发布的一份调查报告显示,在此前的研究中发现针对 Ledger、Trezor、MEW、Metamask 等用户的虚假浏览器扩展程序。最近的研究中发现了恶意的 Web3 应用程序「网络钓鱼 dapp」,它们伪装成合法的应用程序或服务来窃取加密货币。比如,自 MakerDAO 正式关闭单抵押 Sai 系统以来,这类钓鱼工具开始出现,他们会伪装成需要一个新工具来帮助用户从 SAI 迁移到 DAI。比如某一域名提供了一个简单的界面,以 1:1 的比例开始从 SAI 迁移到新的 DAI,似乎就像官方通道一样。然而,实际上要签署的交易只是将 SAI 发送到攻击者拥有的一个地址。已经追踪到了超过 10 万美元的 SAI 被转移到了攻击者账户。这些攻击通过直接在 Web 界面输入私钥来进行钓鱼攻击,从样本来看,这次 Web3 钓鱼攻击的迭代版本似乎是由一群恶意参与者运行的。它们的一个集群与其他加密货币骗局位于同一基础设施架构上(198.54.120.244)。这似乎是 Namecheap 提供的一个共享的 Web 托管服务器,但由于攻击内容和方法的重叠,可以假设这些活动是由相同的参与者运行的。在 DeFi 强势增长的背景下,攻击目标与 DeFi 的关系越来越密切。

去中心化跨链借贷平台 Atomic Loans 公开合约漏洞,现已暂停新贷款请求

链闻消息,去中心化跨链借贷平台 Atomic Loans 公开由安全研究员 samczsun 披露的关于当前部署的合约和贷方代理中的两个漏洞。这两个漏洞都允许恶意借款人解锁其部分或全部比特币抵押资产,而无需在特定情况下偿还其贷款。不过,截至目前,这两个漏洞均未被任何用户利用,并且 Atomic Loans 平台上没有资金受到影响。Atomic Loans 指出,在启动 v2 之前,将继续禁止新的贷款请求,并将组织一次白帽黑客事件以及进行多次审核和实施 Bug 赏金计划。链闻此前报道,今年 4 月中旬,Atomic Loans 宣布完成 245 万美元的种子轮融资,此轮融资由 Initialized Capital 领投,参投方包括 ConsenSys、Morgan Creek Digital 和 Bison Trails 的 Joe Lallouz 和 Aaron Henshaw。链闻注,Atomic Loans 是一个对接矿工和散户的无需信任和支持跨链的债务协议,使用原子互换技术和原生区块链的功能,可以实现比特币和以太坊的贷款功能,而且用户无需将信任委托给第三方中心化的托管商。

DeFi Saver 发现自有交易平台安全漏洞并使用白帽攻击提取资金

链闻消息,抵押债仓(CDP)自动化管理系统 DeFi Saver 在推特中表示,该团队发现 DeFi Saver 应用系列中自有交易平台的一个漏洞,并尝试使用一次「白帽攻击」将受影响的 3 万美元资金转移至只有原始攻击者才能进入的智能合约中,同时该平台表示为了防止类似事件发生,已经将该自有交易平台从 DeFi Saver 应用中删除。

以太坊智能钱包 Argent 发现可接管钱包权限的安全漏洞,目前已修复

链闻消息,加密网络安全公司 OpenZeppelin 的研究人员发布博文表示,在以太坊智能钱包 Argent 上发现严重安全漏洞,此漏洞可使潜在的攻击者接管 Argent 用户的钱包,特别针对未激活「Guardian」功能的用户。目前 Argent 团队已经修复该漏洞,并与受影响的用户联系,采取一些措施来保护用户的钱包安全。Argent 钱包的「Guardian」功能可使 Argent 用户授予选定的账户执行操作的权限,包括锁定或批准钱包恢复等。同时,Argent 钱包在今年 3 月 30 日之前,允许用户创建未设置「Guardian」功能的钱包,而此次发现的 Argent 代码中的漏洞使攻击者可以在没有「Guardian」功能情况下锁定钱包,并触发重新恢复功能以窃取资金。OpenZeppelin 确定大约 329 个钱包,持有将近 162 ETH (约合 37,000 美元)有即时被攻击的风险,并确定另外 5,513 个钱包可能受到潜在攻击。

Bancor:正联系攻击者偿还 13 万美元漏洞损失,事件不会影响 V2 版本上线

链闻消息,去中心化交易协议 Bancor 官方披露了昨日安全漏洞的细节,并表示这不会影响 V2 协议的上线。Bancor 表示,其智能合约 0.6 版本在 6 月 16 日部署后,原本应该设置为私有的函数 safeTransferFrom 被定义为公开函数,所以导致了任何人可以转移代币。幸好没有造成较大损失,Bancor 表示绝大多数的资金(455,349 美元)被他们自己发起的白帽攻击转移至安全的地址,但还有 135,229 美元的资金被两个未知套利机器人抢先交易了,团队目前正在联系他们,希望他们可以将资产还给用户,Bancor 团队将会提供漏洞赏金作为交换。另外 Bancor 还表示,接下去的 V2 版本的升级将进行多次的安全审计,包括由 Consensys Due Diligence 提供的审计,所以他们认为本次事件并不会导致 V2 版本延期。

江苏连云港公安局定性「贝尔链」为传销活动,案件犯罪嫌疑人被起诉

链闻消息,江苏省连云港市公安局海州分局发布《海州区关于「贝尔链」案投资会员信息核实登记通告》。通告称,「贝尔链」案中犯罪嫌疑人程某法、张某等人涉嫌组织、领导传销活动一案,由连云港市公安局海州分局依法移送海州区人民检察院审查起诉。为保证案件的侦查、诉讼活动的顺利进行,海州分局请本案中注册投资会员按时参加信息核实登记。核实登记期限自即日起至 2020 年 6 月 30 日止。信息核实登记对象为在「贝尔链」案中在海州区紫金公馆、登壹大厦 15 楼参与超级富豪、环球城挖矿、大航海家游戏公链中注册投资的会员,以及能够证明在本案犯罪嫌疑人鼓动下参与注册投资的会员。

Bancor 新合约出现安全漏洞,团队回应称已进行白帽攻击,所有资金都是安全的

链闻消息,投资机构 Hex Capital 表示,去中心化流动性网络 Bancor 似乎发生了一些安全问题。由于新的 Bancor 网络合约上未经验证的 safeTransferFrom ()函数,用户资金即将被耗尽。对此,Bancor 团队在电报群表示团队在发现漏洞后推出了新版本智能合约并修复了此漏洞,尚未造成用户资产损失。另外,Bancor 团队对 DeFi 分析服务提供商 defiprim 表示:1. 两天前发布的新 Bancor Network v0.6 合约中发现了一个安全漏洞;2. 在发现漏洞之后团队进行了白帽攻击,以将资金转移到安全地址;3. 智能合约已完成审核;4. 所有用户的资金都是安全的。

1 BTC 寻宝游戏在 44 小时内被暴力破解,成本或少于 1 分钱

链闻消息,推特用户 Alistair Milne 发起的 1 BTC 寻宝游戏,在 44 小时的暴力破解后被领走。Milne 在给出了 8 个单词的助记词线索后,一名未知的「黑客」花 44 小时暴力破解了剩下的 4 个单词,最后将币转走。Cobo 金库提供了一个此次暴力破解的成本计算方式,按照最新蚂蚁 S19 Pro 以及 0.4 元每度电的成本计算,如果缺少 4 个助记词,黑客需要进行 2^44 次哈希运算,成本小于 0.01 元;如果缺少 8 个单词,黑客需要进行 2^88 次哈希运算,成本超过 10 亿元。Cobo 金库认为,12 位或 24 位助记词在分片加密备份的场景下,12 位助记词是不安全的。

OMG Network 启动 2.5 万美元奖励的安全漏洞赏金计划

链闻消息,以太坊扩容项目 OMG Network (原 OmiseGO)启动代码安全漏洞赏金计划,最高可奖励 2.5 万美元。根据漏洞计划的说明,需要审核的部分包括区块链协议、智能合约、区块浏览器以及钱包等。链闻此前报道,OMG Network 于本月初发布主网测试版 OMG Network V1 Mainnet Beta,并表示,随着该主网测试版上线,可以实现将以太坊扩展至每秒数千笔交易,同时可以将网络的交易费用降至原来的三分之一。

Intel 发布更新补丁修复缓存泄露漏洞,SGX 设备必须升级才能通过远程认证

链闻消息,Intel 已于 6 月 9 日发布微码补丁修复了缓存泄露漏洞(CVE-2020-0548/0549),即所谓可被利用泄露敏感数据的漏洞。该漏洞描述是:l1d-eviction-sampling、vector-register-sampling。经由 Phala Network 团队测试确认,未升级的 Intel SGX 设备已经被吊销证书,SGX 设备必须升级才能通过远程认证。Phala 团队自 2020 年 1 月开始就持续追踪该 CVE,据悉该漏洞是由安全团队于去 11 月向 Intel 提交报告的,1 月与英特尔共同公布初步信息,6 月 9 日释放补丁并吊销证书,该漏洞没有对 TEE 项目造成实际安全影响。

山东警方破获以比特币为名诈骗涉案 2700 多万的特大电信网络诈骗案

链闻消息,据中央电视台新闻频道《新闻直播间》栏目报道,山东省菏泽市巨野县公安局近日破获一起特大电信网络诈骗案,打掉多个涉嫌以网贷和投资「比特币」为名实施电信网络诈骗的团伙,抓获犯罪嫌疑人 83 名,扣押、冻结涉案资金 2700 多万元,目前 30 名主要犯罪嫌疑人已被巨野警方依法移送到检察机关审查起诉。专案组通过一个多月的侦查,发现该公司是一个以投资比特币为名义,对境外人员实施诈骗的团伙。侦查人员顺线追踪,又发现了另外两个诈骗团伙,这 3 个团伙彼此联系、分工合作,共同实施诈骗。这 3 个团伙嫌疑人都是从老挝回来的原班人马。目前,该案还在进一步侦办中。

ConsenSys Diligence 正在对 Bancor V2 版本的代码进行安全审计

链闻消息,Bancor 宣布 ConsenSys Diligence 目前正在对 BancorV2 代码进行安全审核,Bancor 计划于今年第二季度发布并开源 Bancor V2 版本,更新众多功能,包括支持集成 DeFi 借贷协议、允许流动性提供者针对单个代币提供 100%风险敞口、可自定义设置联合曲线以有效减少滑点,以及最为重要的功能,即集成 Chainlink 预言机的自动做市流动性池,这可有效降低流动性提供者因套利产生的亏损。

枣庄市人民检察院披露「iBank 智能钱包」起诉书,该平台发展传销会员 65 层,涉资 3 亿

链闻消息,山东省枣庄市薛城区人民检察院近日披露了一起特大网络传销案起诉书。「智能钱包」传销平台借数字货币的名义,发展传销会员 10 万余名,涉案资金高达 3 亿余元。该传销平台的讲师罗某某因涉嫌犯组织、领导传销活动罪,被检察院提起公诉。至案发,「智能钱包」传销平台,发展传销会员 65 层,共吸收数字货币 ETH (以太坊) 36 万个、BTC (比特币) 593 个、XRP (瑞波币) 4291 万个。按平台运营期间,各数字货币行情最低值计算,累计金额为 3 亿元。枣庄市薛城区人民检察院认为,被告人罗某某组织、领导传销活动,骗取财物,扰乱经济与社会秩序,情节严重,其行为触犯了《中华人民共和国刑法》第二百二十四条之一,应当以组织、领导传销活动罪追究其刑事责任。根据《中华人民共和国刑事诉讼法》第一百七十六条的规定,提起公诉,请依法判处。据券商中国报道称,该钱包平台为「iBank 智能钱包」。

研究:以太坊混币平台 Tornado Cash 可能会因某个用户操作不当而削弱其他用户的隐私

链闻消息,据匈牙利科学院计算机学者 Ferenc Béres 等人发表的一篇论文,案例研究显示,以太坊混币平台 Tornado Cash 可能会因为某个用户的操作不当而削弱其他用户的隐私。安比实验室创始人郭宇对链闻回应称,该问题不严重,这是所有混币器面临的共同问题。

成都链安:Apache Tomcat 远程代码执行漏洞预警(CVE-2020-9484)

链闻消息,成都链安威胁情报系统预警,Apache Tomcat 远程代码执行存在漏洞,部分交易所仍然在使用此 web 服务器,黑客可利用此漏洞进行犯罪入侵,我们建议使用相关软件的交易所及时自查并进行修复。漏洞威胁:高。受影响版本:Apache Tomcat 10.0.0-M1 至 10.0.0-M1、Apache Tomcat 9.0.0.M1 至 9.0.34、Apache Tomcat 8.5.0 至 8.5.54、Apache Tomcat 7.0.0 至 7.0.103。漏洞描述:1) 攻击者可以通过此漏洞控制服务器以及计算机上的文件;2) 服务器将会被配置 FileStore 和 PersistenceManager;3) PersistenceManager 配置有 sessionAttributeValueClassNameFilter =「 null」(除非使用 SecurityManager,否则为默认值)或不严谨的过滤器,允许攻击者执行反序列化操作;4) 攻击者知道从 FileStore 使用的存储位置到攻击者可以控制的文件的相对文件路径;然后,使用特殊请求,攻击者将能够在其控制下通过反序列化文件来触发远程代码执行。(攻击成功必须满足以上四个条件) 成都链安安全团队建议根据官方提供的修复方案进行修复,修复方案如下:Apache Tomcat 10.0.0-M1 至 10.0.0-M1 版本建议升级到 Apache Tomcat 10.0.0-M5 或更高版本;Apache Tomcat 9.0.0.M1 至 9.0.34 版本建议升级到 Apache Tomcat 9.0.35 或更高版本;Apache Tomcat 8.5.0 至 8.5.54 版本建议升级到 Apache Tomcat 8.5.55 或更高版本;Apache Tomcat 7.0.0 至 7.0.103 版本建议升级到 Apache Tomcat 7.0.104 或更高版本。用户也可以通过 sessionAttributeValueClassNameFilter 适当的值配置 PersistenceManager,以确保仅对应用程序提供的属性进行序列化和反序列化。

Fastjson 全版本远程代码执行漏洞曝光,降维发布预警

据降维安全实验室(johnwick.io) 报道,Fastjson <=1.2.68 全版本存在反序列化漏洞,利用该漏洞,黑客可远程在服务器上执行任意代码直接获取服务器权限。此漏洞异常危险,降维安全实验室建议使用了该 java 库的相关交易所及企业及时将 Fastjson 升级至 1.2.68 版本、打开 SafeMode、并持续关注 fastjson 官网等待 1.2.69 版本的更新并立即升级以防止被攻击。

DDEX:提醒用户识别冒用 DDEX 相关名义进行合约交易等虚假信息

链闻消息,去中心化交易所 DDEX 发布公告表示,有人冒用 DDEX 相关名义,通过网虚假网站 http://real.ddexbank.cn 、APP、邮箱 ddex1188@163.com, 微信群等渠道冒充官方发布虚假信息,封禁用户资金, 开展合约交易等。DDEX 声明表示, 从未通过网站、APP、微信等任何渠道,也从未授权任何实体或个人,以 DDEX 相关名义进行过任何此类活动,并提醒公众切勿轻信此类虚假信息,以免造成资金损失。
返回页面顶部
返回链闻首页