Aggregator

A vulnerability classified as critical was found in Python up to 2.7.11. This vulnerability affects the function CGIHandler of the component CGI Script Handler. The manipulation of the argument HTTP_PROXY as part of HTTP Requests leads to open redirect. This vulnerability was named CVE-2016-1000110. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, was found in Senator Inn and Spa 1.2.2.160. Affected is an unknown function of the component X.509 Certificate Handler. The manipulation leads to cryptographic issues. This vulnerability is traded as CVE-2014-7034. The attack can only be done within the local network. There is no exploit available.

The data leak exposed personal data of 100m US citizens, resulting from a misconfigured database made accessible online

A vulnerability, which was classified as critical, has been found in Curecos Cure Viewer 1.03. This issue affects some unknown processing of the component X.509 Certificate Handler. The manipulation leads to cryptographic issues. The identification of this vulnerability is CVE-2014-7033. The attack needs to be approached within the local network. There is no exploit available.

Tor 匿名网络项目与基于 Tor 的匿名操作系统项目 Tails 宣布了合并，此举有助于简化合作、更好的可持续性、降低开销，扩大培训和推广的区域。Tails 是在 2023 年底向 Tor 项目提出合并运营的设想。Tails 现有结构难以应付更大的规模，相比下 Tor 项目有着更大更成熟的结构，与 Tor 合并提供了一种解决方案。Tails 可以专注于其核心使命——维护和改进操作系统，探索更多互补用例，同时能受益于 Tor 项目更大的组织结构。

A vulnerability, which was classified as critical, was found in Apache Hadoop up to 2.6.4/2.7.2. This affects an unknown part of the component HDFS Service. The manipulation leads to improper access controls. This vulnerability is uniquely identified as CVE-2016-5393. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

Name: Haruulzangi CTF 2024 Finals (an Haruulzangi event.)
Date: Sept. 26, 2024, 4 a.m. — 26 Sept. 2024, 09:00 UTC  [add to calendar]
Format: Jeopardy
On-site
Location: Shangri-La Ballroom, Ulaanbaatar, Mongolia
Offical URL: https://dashboard.haruulzangi.mn/
Rating weight: 0.00
Event organizers: haruulzangi-organizers

Authors/Presenters:Sarah Wooders and Shu Liu, UC Berkeley; Paras Jain, Genmo AI; Xiangxi Mo and Joseph Gonzalez, UC Berkeley; Vincent Liu, University of Pennsylvania; Ion Stoica, UC Berkeley

Our sincere thanks to USENIX, and the Presenters & Authors for publishing their superb 21st USENIX Symposium on Networked Systems Design and Implementation (NSDI '24) content, placing the organizations enduring commitment to Open Access front and center. Originating from the conference’s events situated at the Hyatt Regency Santa Clara; and via the organizations YouTube channel.

Permalink

The post USENIX NSDI ’24 – Cloudcast: High-Throughput, Cost-Aware Overlay Multicast in the Cloud appeared first on Security Boulevard.

安全研究员Johann Rehberger近期报告了一个ChatGPT漏洞。该漏洞允许攻击者在用户的长期记忆设置中存储虚假信息和恶意指令。OpenAI迅速关闭了问题报告，称其为安全（Safety）问题，而非技术意义上的安全（Security）漏洞。 面对这一情况，Rehberger做了所有优秀研究员都会做的事情：他利用该漏洞创建了一个概念验证（PoC）攻击，能够永久提取用户的所有输入。OpenAI的工程师注意到这一点，并于本月早些时候对该问题进行了部分修复。 回顾漏洞产生的过程 此次漏洞利用了ChatGPT的长期对话记忆功能。OpenAI从今年2月开始测试这一功能，并于9月广泛推广。ChatGPT的记忆功能可以存储此前对话中的信息，并在后续的对话中继续使用这些信息作为上下文。因此，模型能够记住用户的年龄、性别、信仰等各种细节，免去用户每次对话时重新输入这些信息的麻烦。 然而，在该功能推出后的三个月内，Rehberger发现，记忆可以通过间接提示注入进行恶意植入并永久存储。这是一种AI系统的漏洞，会导致大模型执行来自不受信任内容（如电子邮件、博客文章或文档）的指令。 Rehberger演示了如何欺骗ChatGPT，使其相信某位目标用户已经102岁，居住在《黑客帝国》世界中，并坚信地球是平的。模型会将这些虚假信息纳入所有未来的对话中。 这类虚假记忆的植入方式很简单，可以通过在Google Drive或Microsoft OneDrive存储文件、上传图片，或浏览如Bing之类的站点来实现，而这些都可能是由恶意攻击者创建的。 Rehberger于5月将这一发现私下报告给了OpenAI。同月，OpenAI关闭了报告工单。然而，一个月后，Rehberger提交了一份新的披露声明，这次他创建了一个概念验证（PoC），该概念验证使macOS版ChatGPT应用将所有用户输入和ChatGPT的输出逐字发送到他指定的服务器。目标用户只需指示模型访问一个包含恶意图片的网页链接，从那时起，所有的输入和输出数据便会自动传送至攻击者控制的网站。 在演示视频中，Rehberger指出：“真正有趣的是，记忆现在具有了持久性。提示注入已经将一个记忆植入了ChatGPT的长期存储中。即使开始新的对话，模型实际上仍在提取这些数据。” 需要注意的是，通过ChatGPT的网页界面无法实现此类攻击，这要归功于OpenAI去年推出的API限制。 尽管OpenAI已经引入了修复措施，防止记忆功能被滥用为数据提取的工具，但Rehberger指出，不受信任的内容依然可以通过提示注入，导致恶意攻击者植入的长期信息被存储在记忆工具中。 为防止类似攻击，大模型用户应在对话过程中密切关注输出，检查是否有新的记忆被意外添加。他们还应定期审查已存储的记忆，以防有不受信任的内容被植入。OpenAI提供了相关管理记忆工具和存储记忆的详细指南。然而，该公司代表未回应关于其在防止其他虚假记忆攻击方面所作努力的邮件询问。     转自安全内参，原文链接：https://www.secrss.com/articles/70682 封面来源于网络，如有侵权请联系删除

A vulnerability was found in QuickEStore 8.2. It has been rated as critical. Affected by this issue is some unknown functionality of the file insertorder.cfm. The manipulation of the argument CFTOKEN leads to sql injection. This vulnerability is handled as CVE-2007-3933. The attack may be launched remotely. Furthermore, there is an exploit available.

据Cybernews消息，法国公民经历了一次大规模数据暴露事件，超过9500万条公民数据记录被直接公开在互联网上，涉及数据类型包括姓名、电话号码、电子邮件地址和部分支付信息等，这可能导致他们更易遭受针对性的网络攻击。 目前尚不清楚该黑客的具体信息，不过可以肯定的是，他正在持续囤积法国公民泄露的个人信息，并将其编译在一个数据库中。更糟糕的是，这些数据现在已经被公开了。 该数据泄露事件由Cybernews研究团队与网络安全研究员Bob Dyachenko共同发现，这是一个开放的Elasticsearch服务器（实时数据分析和搜索的工具），无需授权即可访问，并且被命名为“vip-v3”。目前该数据库至少包含了9500万条数据，且已经发现来自于17起数据泄露事件，大小超过30GB。 有意思的是，根据公开信息法国总人口也才6779万。安全研究人员表示，这些数据库致力于编译来自多个与法国相关的数据泄露事件，涵盖了电信、电子商务、社交媒体和其他行业，反映了数据泄露十分广泛。数据类型包括已知和未知的数据泄露，涉及全名、电话号码、地址、电子邮件、IP地址、部分支付信息以及其他的数据。 Cybernews研究人员表示，如此庞大的数据量且集中在一个国家，这大大增加了数据泄露的危害性，很有可能会影响数百万个人和公司，并可能导致身份盗窃、欺诈和其他恶意活动的风险增加。 从泄露的数据库中可以发现一共包含17个部分，每个部分可能对应的是一个独立的安全事件，暴露的文件名暗示泄露可能涉及的公司。 Lyca scrappe.txt Lycamobile是一家移动网络运营商，该文档中的数据可能来源于此； Pandabuy-Email.txt 与Pandabuy有关，可能是涉及客户电子邮件数据的泄露； darty.com.txt Darty是一家法国电子产品零售商，数据泄露可能与该公司有关； discord_1_2024.txt Discord是一个流行的网络社交平台，涉及的数据可能是从该平台窃取； dvm.txt 可能与缩写为DVM的服务或实体有关； electro-depot.fr.txt Electro Depot是一家法国电子产品和家电零售商，可能涉及相应的数据泄露； db_vandb.txt 可能与V和B（Vins＆Bières，一家法国葡萄酒和啤酒零售商）有关； Snapchat SQL.txt 表明该部分数据涉及Snapchat泄露，特别是通过SQL查询提取的数据； frsfr.txt 可能与缩写为“FRS”的法国服务有关； go-sport.com-export.txt 指的是Go Sport，一家法国体育用品零售商； intersport-scrapped.fr.txt Intersport是法国另一家体育用品零售商，可能是从这里窃取的数据 ldlc.txt 指向涉及法国在线电子产品零售商LDLC的数据泄露； corsegsm.com.txt Corse GSM是一家科西嘉移动运营商，数据泄露可能与此有关； pinterest.txt 指的是Pinterest，社交媒体平台； minecraft.fr-forum.txt 表明涉及法国Minecraft论坛的泄露 sfr.fr.txt： SFR是一家主要的法国电信公司，可能与此有关； shadow.tech.txt 指的是Shadow，一种云计算服务。 安全研究人员表示，鉴于欧盟的规定，在没有用户同意的情况下，无法合法收集、获取和组合如此大量的数据。而且数据暴露在外，没有任何安全措施。这表明数据库的所有者明显无视GDPR，可能有恶意意图。 由于数据库已经公开可访问了很长一段时间，很可能其他恶意行为者已经复制了数据，并可能正在将其用于犯罪活动。同时也让暴露的公民面临诸多安全风险，例如身份盗窃、欺诈、钓鱼攻击，或使用数据进行帐户劫持或在社会工程攻击中冒充个人。       转自安全客，原文链接：https://www.freebuf.com/news/411820.html 封面来源于网络，如有侵权请联系删除

一名 88 岁的男子是世界服刑时间最长的死刑犯，他在重审中被日本法院宣判无罪。袴田岩被控于 1966 年谋杀了其上司一家四口人。日本静冈地方法院 26 日作出判决，宣判其无罪。这是日本战后

The United States today unveiled sanctions and indictments against the alleged proprietor of Joker's Stash, a now-defunct cybercrime store that peddled tens of millions of payment cards stolen in some of the largest data breaches of the past decade. The government also indicted a top Russian cybercriminal known as Taleon, whose cryptocurrency exchange Cryptex has evolved into one of Russia's most active money laundering networks.

美国汇款巨头速汇金（MoneyGram）日前确认，自9月20日（上周五）以来，该公司一直在处理系统故障和客户因服务缺失的投诉，是因为遭受了网络攻击。 尽管外界早有猜测认为速汇金遭遇了网络攻击，但直到9月23日早晨，该公司才正式证实，一次网络安全事件是这次系统故障的根本原因。 公告中指出：“速汇金近期发现了一个影响我们部分系统的网络安全问题。我们在发现问题后，立即展开调查，并采取了保护措施应对此次事件，其中包括主动下线部分系统，这对网络连接产生了影响。” 速汇金是一家美国的点对点支付与汇款公司，业务覆盖全球200个国家，拥有35万个实体网点。客户可以通过速汇金庞大的实体网络，或通过其移动应用和网站进行数字汇款。 作为仅次于西联（Western Union）的全球第二大汇款公司，速汇金每年为数千万用户处理超过1.2亿笔交易。 收汇款服务因网络攻击中断约5天 问题的最早迹象出现在9月20日，部分用户报告称无法通过速汇金服务收款或访问资金，同时公司的网站也无法正常访问。 速汇金官网目前仍处于中断状态 在客户无法转账或访问资金后，速汇金于9月21日表示，正在经历一次“网络故障”，该故障影响了系统的连接。 速汇金在X平台（即原推特）发布消息称，公司正遭遇一次“网络故障”，系统连接受到影响，但并未提供进一步的详细信息。 直到9月23日，速汇金才最终确认，网络安全事件是此次故障的原因，并向客户保证，公司正在与外部专家和执法机构紧密合作，积极应对此次事件。 速汇金在解释中表示：“我们深知此事件对我们的客户和合作伙伴的重要性与紧迫性。我们正全力恢复系统上线，并努力使业务回归正常运作。” 9月25日下午，公司在X平台上称，许多代理合作伙伴的汇款和收款服务已经恢复，待处理的交易正在陆续完成，公司将继续恢复剩余的其他服务，包括官方网站。 虽然速汇金尚未透露此次攻击的具体类型，但长时间的系统中断与连接故障，可能表明此次攻击涉及勒索软件。 鉴于速汇金拥有庞大的用户群体，潜在的数据泄露可能对许多人产生深远影响。     转自安全内参，原文链接：https://www.secrss.com/articles/70634 封面来源于网络，如有侵权请联系删除