鏈聞 ChainNews 誠邀讀者共同監督,堅決杜絕各類代幣發行、投資推薦及虛擬貨幣炒作信息。舉報

漏洞

漏洞新聞快訊文章, 漏洞深度文章, 漏洞快訊, 區塊鏈漏洞, 漏洞是什麼, 漏洞介紹, 漏洞解讀, 漏洞項目, 三分鐘瞭解漏洞, 秒懂漏洞, 如何評價漏洞, 漏洞怎麼樣, 漏洞創始人, 漏洞招聘, 漏洞融資, 漏洞價格, 漏洞技術, 漏洞社區, 漏洞論壇, 漏洞瀏覽器, 漏洞排名, 漏洞白皮書, 漏洞本質, 漏洞意義, 漏洞代碼, 漏洞遊戲, 漏洞什麼意思, 漏洞學習, 漏洞培訓, 漏洞教程, 漏洞投資, 漏洞賺錢, 漏洞安全, 漏洞漏洞

成都鏈安:F5 BIG-IP 遠程代碼執行漏洞預警 CVE-2020-5902

漏洞威脅:高,受影響版本:BIG-IP 15.x: 15.1.0/15.0.0、BIG-IP 14.x: 14.1.0 ~ 14.1.2、BIG-IP 13.x: 13.1.0 ~ 13.1.3、BIG-IP 12.x: 12.1.0 ~ 12.1.5 和 BIG-IP 11.x: 11.6.1 ~ 11.6.5。漏洞描述:在 F5 BIG-IP 產品的流量管理用戶頁面 (TMUI)/ 配置實用程序的特定頁面中存在一處遠程代碼執行漏洞。未授權的遠程攻擊者通過向該頁面發送特製的請求包,可以造成任意 Java 代碼執行。進而控制 F5 BIG-IP 的全部功能,包括但不限於 : 執行任意系統命令、開啓 / 禁用服務、創建 / 刪除服務器端文件等。修復方案:官方建議可以通過以下步驟暫時緩解影響(臨時修復方案) 1) 使用以下命令登錄對應系統 tmsh2) 編輯 httpd 組件的配置文件 edit /sys httpd all-properties3) 文件內容如下 include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '4) 按照如下操作保存文件,按下 ESC 並依次輸入 :wq 5) 執行命令刷新配置文件 save /sys config 6) 重啓 httpd 服務 restart sys service httpd 並禁止外部 IP 對 TMUI 頁面的訪問成都鏈安在此建議使用該應用的交易所進行安全自查,按照官方安全建議進行修復,避免造成不必要的經濟損失。

Ravencoin 官方確認漏洞存在,已增發總量的 1.5%

鏈聞消息,Ravencoin 社區成員 CryptoScope 團隊發現 Ravencoin 區塊鏈存在漏洞,已被未知人員鑄造 RVN 總量 210 億其中的 1.5%。Ravencoin 開發者 Tron Black 表示,這些代幣在被開採後可能已經被出售給市場了,因此經濟損失已經被 Ravencoin 生態所吸收。官方提醒所有的礦工、礦池或交易所將客戶端升級爲最新版本,使用最新版本即可,而社區也在考慮各種方案減少該事件帶來的後續影響,比如將減半時間提前,讓總量恢復到原來計劃的 210 億。

俄羅斯一款基於區塊鏈的投票系統存在提前破譯選票結果的漏洞

鏈聞消息,莫斯科信息技術部開發的一個基於區塊鏈的憲法修正案投票系統有一個漏洞,這使得在官方計票前破譯選票成爲可能。投票系統依賴於所謂的確定性加密,即使用相同的參數產生相同的密文。發送方和接收方都接收到一個共享密鑰,該密鑰可用於對消息進行加密或解密。這意味着,在選舉委員會解密之前,任何選民理論上都可以破譯自己的選票,甚至允許第三方這樣做。爲了做到這一點,投票者必須保存他們的私鑰。不過從理論上講,這個漏洞可以讓僱主確保他們的僱員投了票,甚至可以促使他們保存自己的私鑰,然後檢查他們投的票。有報道稱,俄羅斯的國有實體在政府的要求下推動員工投票。另一方面,在選舉委員會拒絕公佈每一張選票的解密信息的情況下,同樣的漏洞也可以用來增加投票的透明度。

比特幣側鏈 Liquid Network 存在一個長期安全漏洞,Blockstream 迴應稱暫無資金被盜

鏈聞消息,比特幣開發商、加密初創公司 Summa One 創始人 James Prestwich 表示,區塊鏈初創公司 Blockstream 的比特幣側鏈網絡 Liquid Network 存在一個長期漏洞,這可能導致上百萬比特幣被盜。由於時間鎖(TimeLock)不一致,該安全漏洞影響了 Liquid Network 上的基本帳戶。這種不一致可能會讓員工通過緊急恢復流程提取比特幣,只需要 3 個密鑰持有者中的 2 個簽署交易將繞過 multisig (多簽名)進程,該進程原本需要 15 個密鑰持有者中的 11 個來簽署交易。據 James Prestwich 表示,該賬戶本週控制了 870 枚比特幣 (約 800 萬美元),控制時間超過一個多小時。然而,這個潛在漏洞已經存在了 18 個月,可能已經造成了數百萬美元的損失,影響了 2000 多個交易輸出(UTXO)。Blockstream 首席執行官 Adam Back 承認該漏洞是一個「已知問題」。他表示,一個完整的修復程序已經進行了一段時間,但由於幾個原因被推遲了。他補充說,開發人員目前正在與 Liquid Federation 合作,以創建和部署最後的補丁。目前,已存在一種解決方法,它將以一種暫時且有限的方式解決這個問題。Adam Back 指出,Blockstream 對這種情況的處理「沒有達到通常的信任最小化標準」。以 Blockstream 的信譽而言,實際上沒有資金被竊取。此外,這個漏洞只會導致員工內部盜竊的可能性,而不是外部攻擊的可能。

DeFi Saver 發現自有交易平臺安全漏洞並使用白帽攻擊提取資金

鏈聞消息,抵押債倉(CDP)自動化管理系統 DeFi Saver 在推特中表示,該團隊發現 DeFi Saver 應用系列中自有交易平臺的一個漏洞,並嘗試使用一次「白帽攻擊」將受影響的 3 萬美元資金轉移至只有原始攻擊者才能進入的智能合約中,同時該平臺表示爲了防止類似事件發生,已經將該自有交易平臺從 DeFi Saver 應用中刪除。

以太坊智能錢包 Argent 發現可接管錢包權限的安全漏洞,目前已修復

鏈聞消息,加密網絡安全公司 OpenZeppelin 的研究人員發佈博文表示,在以太坊智能錢包 Argent 上發現嚴重安全漏洞,此漏洞可使潛在的攻擊者接管 Argent 用戶的錢包,特別針對未激活「Guardian」功能的用戶。目前 Argent 團隊已經修復該漏洞,並與受影響的用戶聯繫,採取一些措施來保護用戶的錢包安全。Argent 錢包的「Guardian」功能可使 Argent 用戶授予選定的賬戶執行操作的權限,包括鎖定或批准錢包恢復等。同時,Argent 錢包在今年 3 月 30 日之前,允許用戶創建未設置「Guardian」功能的錢包,而此次發現的 Argent 代碼中的漏洞使攻擊者可以在沒有「Guardian」功能情況下鎖定錢包,並觸發重新恢復功能以竊取資金。OpenZeppelin 確定大約 329 個錢包,持有將近 162 ETH (約合 37,000 美元)有即時被攻擊的風險,並確定另外 5,513 個錢包可能受到潛在攻擊。

Bancor:正聯繫攻擊者償還 13 萬美元漏洞損失,事件不會影響 V2 版本上線

鏈聞消息,去中心化交易協議 Bancor 官方披露了昨日安全漏洞的細節,並表示這不會影響 V2 協議的上線。Bancor 表示,其智能合約 0.6 版本在 6 月 16 日部署後,原本應該設置爲私有的函數 safeTransferFrom 被定義爲公開函數,所以導致了任何人可以轉移代幣。幸好沒有造成較大損失,Bancor 表示絕大多數的資金(455,349 美元)被他們自己發起的白帽攻擊轉移至安全的地址,但還有 135,229 美元的資金被兩個未知套利機器人搶先交易了,團隊目前正在聯繫他們,希望他們可以將資產還給用戶,Bancor 團隊將會提供漏洞賞金作爲交換。另外 Bancor 還表示,接下去的 V2 版本的升級將進行多次的安全審計,包括由 Consensys Due Diligence 提供的審計,所以他們認爲本次事件並不會導致 V2 版本延期。

Intel 發佈更新補丁修復緩存泄露漏洞,SGX 設備必須升級才能通過遠程認證

鏈聞消息,Intel 已於 6 月 9 日發佈微碼補丁修復了緩存泄露漏洞(CVE-2020-0548/0549),即所謂可被利用泄露敏感數據的漏洞。該漏洞描述是:l1d-eviction-sampling、vector-register-sampling。經由 Phala Network 團隊測試確認,未升級的 Intel SGX 設備已經被吊銷證書,SGX 設備必須升級才能通過遠程認證。Phala 團隊自 2020 年 1 月開始就持續追蹤該 CVE,據悉該漏洞是由安全團隊於去 11 月向 Intel 提交報告的,1 月與英特爾共同公佈初步信息,6 月 9 日釋放補丁並吊銷證書,該漏洞沒有對 TEE 項目造成實際安全影響。

Fastjson 全版本遠程代碼執行漏洞曝光,降維發佈預警

據降維安全實驗室(johnwick.io) 報道,Fastjson <=1.2.68 全版本存在反序列化漏洞,利用該漏洞,黑客可遠程在服務器上執行任意代碼直接獲取服務器權限。此漏洞異常危險,降維安全實驗室建議使用了該 java 庫的相關交易所及企業及時將 Fastjson 升級至 1.2.68 版本、打開 SafeMode、並持續關注 fastjson 官網等待 1.2.69 版本的更新並立即升級以防止被攻擊。

慢霧再次紅色提醒:發現 ETH 新型假充值的新攻擊手法

昨日慢霧安全團隊首發了 ETH 新型假充值攻擊 revert 的手法,慢霧安全團隊持續進行深入地研究,發現了利用 Out of gas 的攻擊手法。慢霧安全團隊建議:如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。針對使用合約進行 ETH 假充值時,除了 revert 和 Out of gas 的手法外,不排除未來有新的手法,慢霧安全團隊會持續保持關注和研究。同時需要注意,類以太坊的公鏈幣種也可能存在類似的風險,請警惕。

UMA 管理員投票將延期進行,因出現漏洞導致了投票失效

鏈聞消息,去中心化金融合約基礎設施 UMA 在推特表示,UMA 管理員投票可能會失效,並將延期至週一或者週二舉行,因爲無法達到最低參與門檻,在 UMA Voter DApp 中發現了一個漏洞,導致 2 鍵的投票提交無效。目前已經部署了一項修復工作,但是由於已經發送的提交構造不正確,即使在修復了這個漏洞之後,這些投票仍然無效。

路印已完成因前端安全漏洞造成的交易所維護升級

鏈聞消息,路印發布公告稱,Loopring Exchange 維護升級已完成,目前已重新部署了個新的版本,用戶只要重置密碼就可以使用。路印同時在公告中報告了此次前端代碼的安全漏洞,此次漏洞是由 StarkWare 產品負責人 Avihu Levy 和其產品經理 Louis Guthmann 報告的一個路印交易所前端生成 EdDSA 密鑰對的邏輯漏洞,該漏洞由於用戶的 EdDSA 密鑰對實際被限制在了一個 32 位整數空間,導致黑客可以通過窮舉,找出所有用戶的 EdDSA 密鑰對。

黑客組織利用開源框架 Salt 漏洞部署惡意挖礦軟件

鏈聞消息,根據博客平臺 Ghost 消息,一個黑客組織利用基礎設施工具 Salt 的漏洞將加密挖礦惡意軟件安裝到一家公司的服務器中。挖礦導致 CPU 使用激增,並迅速使該公司的大多數系統超載。目前開發人員已從其服務器中刪除了該挖礦惡意軟件,並添加了全新的防火牆配置。Salt 是 SaltStack 開發的開源框架,用於管理和自動化公司服務器的關鍵部分,包括 IBM Cloud、LinkedIn 和 eBay 在內的客戶端使用 Salt 來配置服務器,中繼來自「主服務器」的消息,針對特定的時間表發佈命令。

Blockfolio 代碼庫早期版本的安全漏洞被發現,已存在 3 年

鏈聞消息,網絡安全公司 Intezer 的研究員 Paul Litvak 在加密貨幣資產管理工具 Blockfolio 在 Github 代碼庫中,發現 2017 年早期版本中存在的一個安全漏洞問題。該安全漏洞可被用於允許完全訪問公共以及私有存儲庫,包括其中的私鑰、對代碼以及提交狀態和組織項目的讀寫訪問權限等。同時,該研究員發現該私鑰仍處於活躍狀態,目前 Blockfolio 已修補了該安全漏洞。

iOS 郵箱應用遠程執行存在漏洞,幣安提醒用戶避免該漏洞

鏈聞消息,技術安全公司 ZecOps 於 4 月 20 日曝光 iOS 系統的郵箱應用遠程執行漏洞,該漏洞允許遠程執行代碼功能,並使攻擊者能夠通過發送佔用大量內存的電子郵件來遠程感染設備。幣安交易所在推特上提醒用戶避免漏洞影響方法爲:關閉 iOS 郵件 app 功能,具體包括在設置的密碼與賬戶中將獲取新數據改爲手動並關閉推送;升級到最新版本 iOS (iOS 13.4.5 測試版)。幣安表示,強烈建議幣安用戶立即採取行動以避免資金安全性風險,Apple 稍後推出的 iOS 13.4.5 將會修補這一漏洞。

慢霧:警惕微軟 SMBv3 Client/Server 遠程代碼執行漏洞

據慢霧區情報,3 月 11 日,國外安全公司發佈了一個近期微軟安全補丁包所涉及漏洞的綜述,其中一個威脅等級被標記爲 Critical 的 SMB 服務遠程代碼執行漏洞(CVE-2020-0796),攻擊者可能利用此漏洞獲取機器的完全控制。2020 年 3 月 12 日微軟發佈了相應的安全補丁,強烈建議用戶立即安裝補丁。3 月 30 日公開渠道出現利用此漏洞的本地提權利用代碼,慢霧安全團隊驗證可用,本地攻擊者可以利用漏洞從普通用戶權限提升到系統權限。目前鑑於漏洞發展趨勢來看,慢霧安全團隊不排除執行任意代碼的可能性,由於漏洞無需用戶驗證的特性,可能導致類似 WannaCry 一樣蠕蟲式的傳播;慢霧安全團隊提醒幣圈平臺及個人用戶請注意自身資金安全,儘快升級。

研究人員批露英特爾 SGX 處理器中的漏洞,可竊取加密密鑰和密碼等敏感信息

鏈聞消息,計算機研究員 Daniel Gruss 披露了英特爾 SGX 處理器的一個名爲 Load Value Injection (LVI)的漏洞,該漏洞可從 Intel CPU 的保險庫 SGX 中竊取密鑰、密碼等敏感信息。SGX 是 Software Guard eXtensions 的縮寫,是一個採用強加密和硬件層的隔離保護用戶最敏感隱私的數字保險庫。LVI 與 Meltdown 和 Spectre 等類似,都屬於瞬態執行利用,源自於 CPU 的一項優化技術「預測執行」。與其它瞬態執行漏洞類似,LVI 只能緩解無法修復。受影響的處理器包括了 Sandy Bridge 家族、Ivy Bridge 家族和 Haswell 家族等等,Ice Lake 不受影響。

慢霧:警惕多種 Omni USDT 雙花攻擊

OmniCore 團隊宣佈修復一個重大安全漏洞,由於節點在收到新區塊時沒有處理好併發鎖問題,攻擊者可通過發送特殊構造的區塊,導致一次交易多次記賬,使得賬戶餘額出錯。而在此前,慢霧安全團隊捕獲了一起針對交易所的 USDT 假充值攻擊事件,經分析發現,由於部分交易所使用了舊版本的 omnicore 客戶端(如 0.5.0),黑客使用精心構造的轉賬交易,可以在舊版本的客戶端上標記爲轉賬成功,而在新版本的客戶端上顯示爲失敗,從而達到假充值的目的。慢霧安全團隊提醒相關節點運營方,利用未升級的節點來發起雙花攻擊是一種常見的黑客攻擊方法,尤其是在 OmniLayer 等二層網絡應用上,此類攻擊並不會導致主鏈分叉,不容易被發現,應十分警惕,及時升級節點至最新版本(0.8.0)。

Nexus Mutual 披露兩個缺陷,資金未受損且再進行審計

鏈聞消息,基於以太坊的互助保險平臺 Nexus Mutual 披露了由安全研究人員 Mudit Gupta 和 Sam Sun 分別發現的兩個缺陷,這兩個漏洞未被利用而且保險基金沒有任何損失。Mudit Gupta 發現的漏洞與治理相關,該問題可能會爲特殊人羣授予額外的特權,而 Sam Sun 發現的漏洞可能會讓保險基金受到損失,在收到報告後的 4 小時內,他們立即停止了與 Uniswap 的交互。Nexus Mutual 爲兩名研究人員發現的漏洞提供獎金,分別是 2000 美元和 5000 美元,而且將發佈漏洞獎金計劃,更多細節之後會公佈。Nexus Mutual 表示項目的代碼在上線前就已經在 2019 年 4 月被 Solidified 團隊審計過,而且他們對代碼更新非常保守,目前僅有過三次小型升級,在本次的漏洞披露之前,他們已經安排了一次完全的審計,將於本月底開始,以檢查相關升級細節,該流程耗時較短。
返回頁面頂部
返回鏈聞首頁