链闻 ChainNews 诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。举报

漏洞

漏洞新闻快讯文章, 漏洞深度文章, 漏洞快讯, 区块链漏洞, 漏洞是什么, 漏洞介绍, 漏洞解读, 漏洞项目, 三分钟了解漏洞, 秒懂漏洞, 如何评价漏洞, 漏洞怎么样, 漏洞创始人, 漏洞招聘, 漏洞融资, 漏洞价格, 漏洞技术, 漏洞社区, 漏洞论坛, 漏洞浏览器, 漏洞排名, 漏洞白皮书, 漏洞本质, 漏洞意义, 漏洞代码, 漏洞游戏, 漏洞什么意思, 漏洞学习, 漏洞培训, 漏洞教程, 漏洞投资, 漏洞赚钱, 漏洞安全, 漏洞漏洞

成都链安:F5 BIG-IP 远程代码执行漏洞预警 CVE-2020-5902

漏洞威胁:高,受影响版本:BIG-IP 15.x: 15.1.0/15.0.0、BIG-IP 14.x: 14.1.0 ~ 14.1.2、BIG-IP 13.x: 13.1.0 ~ 13.1.3、BIG-IP 12.x: 12.1.0 ~ 12.1.5 和 BIG-IP 11.x: 11.6.1 ~ 11.6.5。漏洞描述:在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/ 配置实用程序的特定页面中存在一处远程代码执行漏洞。未授权的远程攻击者通过向该页面发送特制的请求包,可以造成任意 Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于 : 执行任意系统命令、开启 / 禁用服务、创建 / 删除服务器端文件等。修复方案:官方建议可以通过以下步骤暂时缓解影响(临时修复方案) 1) 使用以下命令登录对应系统 tmsh2) 编辑 httpd 组件的配置文件 edit /sys httpd all-properties3) 文件内容如下 include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '4) 按照如下操作保存文件,按下 ESC 并依次输入 :wq 5) 执行命令刷新配置文件 save /sys config 6) 重启 httpd 服务 restart sys service httpd 并禁止外部 IP 对 TMUI 页面的访问成都链安在此建议使用该应用的交易所进行安全自查,按照官方安全建议进行修复,避免造成不必要的经济损失。

Ravencoin 官方确认漏洞存在,已增发总量的 1.5%

链闻消息,Ravencoin 社区成员 CryptoScope 团队发现 Ravencoin 区块链存在漏洞,已被未知人员铸造 RVN 总量 210 亿其中的 1.5%。Ravencoin 开发者 Tron Black 表示,这些代币在被开采后可能已经被出售给市场了,因此经济损失已经被 Ravencoin 生态所吸收。官方提醒所有的矿工、矿池或交易所将客户端升级为最新版本,使用最新版本即可,而社区也在考虑各种方案减少该事件带来的后续影响,比如将减半时间提前,让总量恢复到原来计划的 210 亿。

俄罗斯一款基于区块链的投票系统存在提前破译选票结果的漏洞

链闻消息,莫斯科信息技术部开发的一个基于区块链的宪法修正案投票系统有一个漏洞,这使得在官方计票前破译选票成为可能。投票系统依赖于所谓的确定性加密,即使用相同的参数产生相同的密文。发送方和接收方都接收到一个共享密钥,该密钥可用于对消息进行加密或解密。这意味着,在选举委员会解密之前,任何选民理论上都可以破译自己的选票,甚至允许第三方这样做。为了做到这一点,投票者必须保存他们的私钥。不过从理论上讲,这个漏洞可以让雇主确保他们的雇员投了票,甚至可以促使他们保存自己的私钥,然后检查他们投的票。有报道称,俄罗斯的国有实体在政府的要求下推动员工投票。另一方面,在选举委员会拒绝公布每一张选票的解密信息的情况下,同样的漏洞也可以用来增加投票的透明度。

比特币侧链 Liquid Network 存在一个长期安全漏洞,Blockstream 回应称暂无资金被盗

链闻消息,比特币开发商、加密初创公司 Summa One 创始人 James Prestwich 表示,区块链初创公司 Blockstream 的比特币侧链网络 Liquid Network 存在一个长期漏洞,这可能导致上百万比特币被盗。由于时间锁(TimeLock)不一致,该安全漏洞影响了 Liquid Network 上的基本帐户。这种不一致可能会让员工通过紧急恢复流程提取比特币,只需要 3 个密钥持有者中的 2 个签署交易将绕过 multisig (多签名)进程,该进程原本需要 15 个密钥持有者中的 11 个来签署交易。据 James Prestwich 表示,该账户本周控制了 870 枚比特币 (约 800 万美元),控制时间超过一个多小时。然而,这个潜在漏洞已经存在了 18 个月,可能已经造成了数百万美元的损失,影响了 2000 多个交易输出(UTXO)。Blockstream 首席执行官 Adam Back 承认该漏洞是一个「已知问题」。他表示,一个完整的修复程序已经进行了一段时间,但由于几个原因被推迟了。他补充说,开发人员目前正在与 Liquid Federation 合作,以创建和部署最后的补丁。目前,已存在一种解决方法,它将以一种暂时且有限的方式解决这个问题。Adam Back 指出,Blockstream 对这种情况的处理「没有达到通常的信任最小化标准」。以 Blockstream 的信誉而言,实际上没有资金被窃取。此外,这个漏洞只会导致员工内部盗窃的可能性,而不是外部攻击的可能。

DeFi Saver 发现自有交易平台安全漏洞并使用白帽攻击提取资金

链闻消息,抵押债仓(CDP)自动化管理系统 DeFi Saver 在推特中表示,该团队发现 DeFi Saver 应用系列中自有交易平台的一个漏洞,并尝试使用一次「白帽攻击」将受影响的 3 万美元资金转移至只有原始攻击者才能进入的智能合约中,同时该平台表示为了防止类似事件发生,已经将该自有交易平台从 DeFi Saver 应用中删除。

以太坊智能钱包 Argent 发现可接管钱包权限的安全漏洞,目前已修复

链闻消息,加密网络安全公司 OpenZeppelin 的研究人员发布博文表示,在以太坊智能钱包 Argent 上发现严重安全漏洞,此漏洞可使潜在的攻击者接管 Argent 用户的钱包,特别针对未激活「Guardian」功能的用户。目前 Argent 团队已经修复该漏洞,并与受影响的用户联系,采取一些措施来保护用户的钱包安全。Argent 钱包的「Guardian」功能可使 Argent 用户授予选定的账户执行操作的权限,包括锁定或批准钱包恢复等。同时,Argent 钱包在今年 3 月 30 日之前,允许用户创建未设置「Guardian」功能的钱包,而此次发现的 Argent 代码中的漏洞使攻击者可以在没有「Guardian」功能情况下锁定钱包,并触发重新恢复功能以窃取资金。OpenZeppelin 确定大约 329 个钱包,持有将近 162 ETH (约合 37,000 美元)有即时被攻击的风险,并确定另外 5,513 个钱包可能受到潜在攻击。

Bancor:正联系攻击者偿还 13 万美元漏洞损失,事件不会影响 V2 版本上线

链闻消息,去中心化交易协议 Bancor 官方披露了昨日安全漏洞的细节,并表示这不会影响 V2 协议的上线。Bancor 表示,其智能合约 0.6 版本在 6 月 16 日部署后,原本应该设置为私有的函数 safeTransferFrom 被定义为公开函数,所以导致了任何人可以转移代币。幸好没有造成较大损失,Bancor 表示绝大多数的资金(455,349 美元)被他们自己发起的白帽攻击转移至安全的地址,但还有 135,229 美元的资金被两个未知套利机器人抢先交易了,团队目前正在联系他们,希望他们可以将资产还给用户,Bancor 团队将会提供漏洞赏金作为交换。另外 Bancor 还表示,接下去的 V2 版本的升级将进行多次的安全审计,包括由 Consensys Due Diligence 提供的审计,所以他们认为本次事件并不会导致 V2 版本延期。

Intel 发布更新补丁修复缓存泄露漏洞,SGX 设备必须升级才能通过远程认证

链闻消息,Intel 已于 6 月 9 日发布微码补丁修复了缓存泄露漏洞(CVE-2020-0548/0549),即所谓可被利用泄露敏感数据的漏洞。该漏洞描述是:l1d-eviction-sampling、vector-register-sampling。经由 Phala Network 团队测试确认,未升级的 Intel SGX 设备已经被吊销证书,SGX 设备必须升级才能通过远程认证。Phala 团队自 2020 年 1 月开始就持续追踪该 CVE,据悉该漏洞是由安全团队于去 11 月向 Intel 提交报告的,1 月与英特尔共同公布初步信息,6 月 9 日释放补丁并吊销证书,该漏洞没有对 TEE 项目造成实际安全影响。

Fastjson 全版本远程代码执行漏洞曝光,降维发布预警

据降维安全实验室(johnwick.io) 报道,Fastjson <=1.2.68 全版本存在反序列化漏洞,利用该漏洞,黑客可远程在服务器上执行任意代码直接获取服务器权限。此漏洞异常危险,降维安全实验室建议使用了该 java 库的相关交易所及企业及时将 Fastjson 升级至 1.2.68 版本、打开 SafeMode、并持续关注 fastjson 官网等待 1.2.69 版本的更新并立即升级以防止被攻击。

慢雾再次红色提醒:发现 ETH 新型假充值的新攻击手法

昨日慢雾安全团队首发了 ETH 新型假充值攻击 revert 的手法,慢雾安全团队持续进行深入地研究,发现了利用 Out of gas 的攻击手法。慢雾安全团队建议:如没有把握成功修复可先临时暂停来自合约地址的充值请求。针对使用合约进行 ETH 假充值时,除了 revert 和 Out of gas 的手法外,不排除未来有新的手法,慢雾安全团队会持续保持关注和研究。同时需要注意,类以太坊的公链币种也可能存在类似的风险,请警惕。

UMA 管理员投票将延期进行,因出现漏洞导致了投票失效

链闻消息,去中心化金融合约基础设施 UMA 在推特表示,UMA 管理员投票可能会失效,并将延期至周一或者周二举行,因为无法达到最低参与门槛,在 UMA Voter DApp 中发现了一个漏洞,导致 2 键的投票提交无效。目前已经部署了一项修复工作,但是由于已经发送的提交构造不正确,即使在修复了这个漏洞之后,这些投票仍然无效。

路印已完成因前端安全漏洞造成的交易所维护升级

链闻消息,路印发布公告称,Loopring Exchange 维护升级已完成,目前已重新部署了个新的版本,用户只要重置密码就可以使用。路印同时在公告中报告了此次前端代码的安全漏洞,此次漏洞是由 StarkWare 产品负责人 Avihu Levy 和其产品经理 Louis Guthmann 报告的一个路印交易所前端生成 EdDSA 密钥对的逻辑漏洞,该漏洞由于用户的 EdDSA 密钥对实际被限制在了一个 32 位整数空间,导致黑客可以通过穷举,找出所有用户的 EdDSA 密钥对。

黑客组织利用开源框架 Salt 漏洞部署恶意挖矿软件

链闻消息,根据博客平台 Ghost 消息,一个黑客组织利用基础设施工具 Salt 的漏洞将加密挖矿恶意软件安装到一家公司的服务器中。挖矿导致 CPU 使用激增,并迅速使该公司的大多数系统超载。目前开发人员已从其服务器中删除了该挖矿恶意软件,并添加了全新的防火墙配置。Salt 是 SaltStack 开发的开源框架,用于管理和自动化公司服务器的关键部分,包括 IBM Cloud、LinkedIn 和 eBay 在内的客户端使用 Salt 来配置服务器,中继来自「主服务器」的消息,针对特定的时间表发布命令。

Blockfolio 代码库早期版本的安全漏洞被发现,已存在 3 年

链闻消息,网络安全公司 Intezer 的研究员 Paul Litvak 在加密货币资产管理工具 Blockfolio 在 Github 代码库中,发现 2017 年早期版本中存在的一个安全漏洞问题。该安全漏洞可被用于允许完全访问公共以及私有存储库,包括其中的私钥、对代码以及提交状态和组织项目的读写访问权限等。同时,该研究员发现该私钥仍处于活跃状态,目前 Blockfolio 已修补了该安全漏洞。

iOS 邮箱应用远程执行存在漏洞,币安提醒用户避免该漏洞

链闻消息,技术安全公司 ZecOps 于 4 月 20 日曝光 iOS 系统的邮箱应用远程执行漏洞,该漏洞允许远程执行代码功能,并使攻击者能够通过发送占用大量内存的电子邮件来远程感染设备。币安交易所在推特上提醒用户避免漏洞影响方法为:关闭 iOS 邮件 app 功能,具体包括在设置的密码与账户中将获取新数据改为手动并关闭推送;升级到最新版本 iOS (iOS 13.4.5 测试版)。币安表示,强烈建议币安用户立即采取行动以避免资金安全性风险,Apple 稍后推出的 iOS 13.4.5 将会修补这一漏洞。

慢雾:警惕微软 SMBv3 Client/Server 远程代码执行漏洞

据慢雾区情报,3 月 11 日,国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述,其中一个威胁等级被标记为 Critical 的 SMB 服务远程代码执行漏洞(CVE-2020-0796),攻击者可能利用此漏洞获取机器的完全控制。2020 年 3 月 12 日微软发布了相应的安全补丁,强烈建议用户立即安装补丁。3 月 30 日公开渠道出现利用此漏洞的本地提权利用代码,慢雾安全团队验证可用,本地攻击者可以利用漏洞从普通用户权限提升到系统权限。目前鉴于漏洞发展趋势来看,慢雾安全团队不排除执行任意代码的可能性,由于漏洞无需用户验证的特性,可能导致类似 WannaCry 一样蠕虫式的传播;慢雾安全团队提醒币圈平台及个人用户请注意自身资金安全,尽快升级。

研究人员批露英特尔 SGX 处理器中的漏洞,可窃取加密密钥和密码等敏感信息

链闻消息,计算机研究员 Daniel Gruss 披露了英特尔 SGX 处理器的一个名为 Load Value Injection (LVI)的漏洞,该漏洞可从 Intel CPU 的保险库 SGX 中窃取密钥、密码等敏感信息。SGX 是 Software Guard eXtensions 的缩写,是一个采用强加密和硬件层的隔离保护用户最敏感隐私的数字保险库。LVI 与 Meltdown 和 Spectre 等类似,都属于瞬态执行利用,源自于 CPU 的一项优化技术「预测执行」。与其它瞬态执行漏洞类似,LVI 只能缓解无法修复。受影响的处理器包括了 Sandy Bridge 家族、Ivy Bridge 家族和 Haswell 家族等等,Ice Lake 不受影响。

慢雾:警惕多种 Omni USDT 双花攻击

OmniCore 团队宣布修复一个重大安全漏洞,由于节点在收到新区块时没有处理好并发锁问题,攻击者可通过发送特殊构造的区块,导致一次交易多次记账,使得账户余额出错。而在此前,慢雾安全团队捕获了一起针对交易所的 USDT 假充值攻击事件,经分析发现,由于部分交易所使用了旧版本的 omnicore 客户端(如 0.5.0),黑客使用精心构造的转账交易,可以在旧版本的客户端上标记为转账成功,而在新版本的客户端上显示为失败,从而达到假充值的目的。慢雾安全团队提醒相关节点运营方,利用未升级的节点来发起双花攻击是一种常见的黑客攻击方法,尤其是在 OmniLayer 等二层网络应用上,此类攻击并不会导致主链分叉,不容易被发现,应十分警惕,及时升级节点至最新版本(0.8.0)。

Nexus Mutual 披露两个缺陷,资金未受损且再进行审计

链闻消息,基于以太坊的互助保险平台 Nexus Mutual 披露了由安全研究人员 Mudit Gupta 和 Sam Sun 分别发现的两个缺陷,这两个漏洞未被利用而且保险基金没有任何损失。Mudit Gupta 发现的漏洞与治理相关,该问题可能会为特殊人群授予额外的特权,而 Sam Sun 发现的漏洞可能会让保险基金受到损失,在收到报告后的 4 小时内,他们立即停止了与 Uniswap 的交互。Nexus Mutual 为两名研究人员发现的漏洞提供奖金,分别是 2000 美元和 5000 美元,而且将发布漏洞奖金计划,更多细节之后会公布。Nexus Mutual 表示项目的代码在上线前就已经在 2019 年 4 月被 Solidified 团队审计过,而且他们对代码更新非常保守,目前仅有过三次小型升级,在本次的漏洞披露之前,他们已经安排了一次完全的审计,将于本月底开始,以检查相关升级细节,该流程耗时较短。
返回页面顶部
返回链闻首页