Aggregator

error code: 521

Apache 软件基金会（ASF）发布了一项安全更新，以解决其 Tomcat 服务器软件中的一个重要漏洞，该漏洞在特定条件下可能导致远程代码执行（RCE）。 被追踪为 CVE-2024-56337 的漏洞，被描述为对 CVE-2024-50379（CVSS 评分：9.8）的不完整修复，这是同一产品中先前在 2024 年 12 月 17 日解决的另一个关键安全缺陷。 项目维护者在上周的咨询中表示：“在大小写不敏感的文件系统上运行 Tomcat，并且默认 servlet 写入功能启用（readonly 初始化参数设置为非默认值 false）的用户，可能需要根据他们与 Tomcat 一起使用的 Java 版本进行额外配置，以完全缓解 CVE-2024-50379。” 这两个漏洞都是检查时间与使用时间（TOCTOU）竞态条件漏洞，当默认 servlet 被设置为允许写入时，可能会导致在大小写不敏感的文件系统上执行代码。 Apache 在 CVE-2024-50379 的警报中指出：“在负载下对同一文件进行并发读取和上传可以绕过 Tomcat 的大小写敏感性检查，导致上传的文件被视为 JSP，从而导致远程代码执行。” CVE-2024-56337 影响以下版本的 Apache Tomcat： – Apache Tomcat 11.0.0-M1 至 11.0.1（在 11.0.2 或更高版本中修复） – Apache Tomcat 10.1.0-M1 至 10.1.33（在 10.1.34 或更高版本中修复） – Apache Tomcat 9.0.0.M1 至 9.0.97（在 9.0.98 或更高版本中修复） 此外，根据运行的 Java 版本，用户需要进行以下配置更改： – Java 8 或 Java 11 – 明确设置系统属性 sun.io.useCanonCaches 为 false（默认为 true） – Java 17 – 如果已经设置，则将系统属性 sun.io.useCanonCaches 设置为 false（默认为 false） – Java 21 及更高版本 – 不需要采取行动，因为系统属性已被移除 ASF 感谢安全研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 识别并报告了这两个缺陷。它还感谢知道创宇404 团队独立报告了 CVE-2024-56337 并提供了概念验证（PoC）代码。 这一披露是在 Zero Day Initiative（ZDI）分享了 Webmin（CVE-2024-12828，CVSS 评分：9.9）的一个关键漏洞细节时发布的，该漏洞允许经过身份验证的远程攻击者执行任意代码。 ZDI 表示：“特定的漏洞存在于处理 CGI 请求的过程中。”“问题是由于在使用用户提供的字符串执行系统调用之前，没有进行适当的验证。攻击者可以利用这个漏洞，在 root 权限下执行代码。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability, which was classified as problematic, was found in OutSystems Service Studio 11 11.53.30 Build 61739. This affects an unknown part in the library av_libGLESv2.dll. The manipulation leads to uncontrolled search path. This vulnerability is uniquely identified as CVE-2022-47636. It is possible to launch the attack on the local host. Furthermore, there is an exploit available.

喜迎新年 邀您共庆HAPPY 2025 NEW YEAR新春曙光初照日，喜悦共分享福满人间，礼自京东安全来新年将至，我们为各位白帽子们准备了精美的【新年礼盒】感谢各位在这一年的辛苦付出，JSRC祝各位

新年将至，京东安全邀请您兑换礼盒啦~

A vulnerability has been found in Symantec Workspace Streaming up to 6.0 and classified as very critical. Affected by this vulnerability is an unknown functionality. The manipulation leads to improper access controls. This vulnerability is known as CVE-2014-1649. The attack needs to be done within the local network. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical has been found in Secureideas Basic Analysis and Security Engine 1.4.5. This affects an unknown part of the file base_ag_main.php. The manipulation leads to improper input validation. This vulnerability is uniquely identified as CVE-2012-1198. It is possible to initiate the attack remotely. Furthermore, there is an exploit available.

A vulnerability classified as critical was found in ntopng up to 3.4. This vulnerability affects unknown code of the component PRNG. The manipulation leads to improper access controls. This vulnerability was named CVE-2018-12520. The attack can be initiated remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

error code: 521

根据Fortinet FortiGuard 实验室的最新发现，网络安全研究人员标记了两个恶意软件包，这两个恶意软件包已上传到 Python 软件包索引 (PyPI) 存储库，并具备从受感染主机窃取敏感信息的功能。 这两个名为zebo和cometlogger 的软件包在被下架之前分别吸引了 118 次和 164 次下载。根据 ClickPy 的统计数据，这些下载大部分来自美国、中国、俄罗斯和印度。 安全研究员 Jenna Wang 表示，Zebo 是“恶意软件的典型例子，具有用于监视、数据泄露和未经授权的控制的功能”，并补充说 cometlogger“还显示出恶意行为的迹象，包括动态文件操纵、webhook 注入、窃取信息和反 [虚拟机] 检查”。 这两个软件包中的第一个 zebo 使用混淆技术（例如十六进制编码字符串）来隐藏通过 HTTP 请求与之通信的命令和控制 (C2) 服务器的 URL。 它还包含大量用于收集数据的功能，包括利用 pynput 库捕获击键和利用 ImageGrab 每小时定期抓取屏幕截图并将其保存到本地文件夹，然后使用从 C2 服务器检索的 API 密钥将其上传到免费图像托管服务 ImgBB。 除了窃取敏感数据外，该恶意软件还通过创建批处理脚本在机器上设置持久性，该脚本启动 Python 代码并将其添加到 Windows 启动文件夹，以便在每次重新启动时自动执行。 另一方面，Cometlogger 功能丰富，可以窃取各种信息，包括来自 Discord、Steam、Instagram、X、TikTok、Reddit、Twitch、Spotify 和 Roblox 等应用程序的 cookie、密码、令牌和帐户相关数据。 它还能够收集系统元数据、网络和 Wi-Fi 信息、正在运行的进程列表以及剪贴板内容。此外，它还包含检查以避免在虚拟化环境中运行，并终止与 Web 浏览器相关的进程以确保不受限制的文件访问。 Jenna Wang 说：“通过异步执行任务，该脚本可以最大限度地提高效率，在短时间内窃取大量数据。” “虽然某些功能可能是合法工具的一部分，但缺乏透明度和可疑功能使其执行起来不安全。在运行代码之前务必仔细检查，并避免与来自未经验证来源的脚本进行交互。”       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/FOgDVffQIhU4SBJe3cVOZA 封面来源于网络，如有侵权请联系删除

2024年度获奖白帽公布

2024年度获奖白帽公布

2024年度获奖白帽公布

2024年度获奖白帽公布

2024年度获奖白帽公布

2024年度获奖白帽公布

2024年度获奖白帽公布

感谢2024年与 MiSRC 并肩作战的白帽师傅们，你们的支持和付出保障了海量用户的安全龙腾辞旧岁，蛇舞祥年来，希望在新的一年也能同各位师傅携手前行，共同应对安全挑战本次白帽颁奖典礼 MiSRC 颁发

error code: 521

一种新的基于 Mirai 的僵尸网络正在积极利用远程代码执行漏洞，该漏洞尚未得到CVE编号，也没有在 DigiEver DS-2105 Pro NVR 中修补。 僵尸网络针对多个网络录像机和固件过时的 TP-Link 路由器。 TXOne 研究员 Ta-Lun Yen 记录了该活动所利用的漏洞之一，并于去年在罗马尼亚布加勒斯特举行的 DefCamp 安全会议上进行了展示。该研究员当时表示，该问题影响了多台 DVR 设备。 Akamai 的研究人员观察到，僵尸网络在 11 月中旬开始利用该漏洞，但发现证据表明该活动至少从 9 月份就开始活跃。 除了 DigiEver 漏洞之外，新的 Mirai 恶意软件变种还针对TP-Link 设备上的CVE-2023-1389和 Teltonika RUT9XX 路由器上的 CVE-2018-17532。 针对 DigiEver NVR 的攻击 被用来攻击 DigiEver NVR 的漏洞是一个远程代码执行 (RCE) 缺陷，黑客的目标是“/cgi-bin/cgi_main.cgi”URI，该 URI 会不正确地验证用户输入。 这允许远程未经身份验证的攻击者通过某些参数（例如 HTTP POST 请求中的 ntp 字段）注入“curl”和“chmod”等命令。 Akamai 表示，它所看到的基于 Mirai 的僵尸网络发起的攻击与 Ta-Lun Yen 演示中描述的攻击类似。 通过命令注入，攻击者从外部服务器获取恶意软件二进制文件，并将设备纳入其僵尸网络。通过添加 cron 作业实现持久性。 一旦设备受到攻击，就会利用漏洞集和凭证列表进行分布式拒绝服务 (DDoS) 攻击或传播到其他设备。 Akamai 表示，新的 Mirai 变种因使用 XOR 和 ChaCha20 加密以及针对包括 x86、ARM 和 MIPS 在内的广泛系统架构而著称。 Akamai 评论道：“尽管采用复杂的解密方法并不是什么新鲜事，但它表明基于 Mirai 的僵尸网络运营商的策略、技术和程序正在不断发展。” 研究人员表示：“这一点尤其值得注意，因为许多基于 Mirai 的僵尸网络仍然依赖于原始 Mirai 恶意软件源代码版本中包含的回收代码中的原始字符串混淆逻辑。” 研究人员指出，该僵尸网络还利用了 Teltonika RUT9XX 路由器中的漏洞CVE-2018-17532以及影响 TP-Link 设备的漏洞CVE-2023-1389 。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/C-qEWotE2KDXBxKH2kMMyQ 封面来源于网络，如有侵权请联系删除