Aggregator

NVMe 2.3版规范提升数据传输可靠性与电源管理控制，新增RPFR、PLC、SDP等重要功能，对企业存储环境意义重大，消费级产品普及需时数年。

文章描述了错误代码521的原因及其解决方法。该错误通常由服务器配置问题或DNS设置不正确引起。常见解决方法包括检查网络连接、清除浏览器缓存、更换DNS服务器或联系管理员解决问题。

HackerNews 编译，转载请注明出处： 法国和荷兰的载旗航空公司法航（Air France）与荷兰皇家航空（KLM Royal Dutch Airlines）已向受影响的客户发送数据泄露通知，告知其个人信息受到第三方数据泄露事件影响。 据荷兰科技媒体Tweakers.com获取的泄露通知显示，攻击者通过入侵第三方服务提供商获取了荷航的客户数据。该公司向Cybernews确认发生了第三方数据泄露事件。同属一家控股公司的法航和荷航正在调查各自公司数据遭非法访问的情况。 “我们在客服中心使用的第三方平台上检测到异常活动，这促使我们的IT安全团队与相关第三方系统迅速实施纠正措施以终止该事件。”公司通过电子邮件发送给Cybernews的声明中写道。 通知称，护照号码、支付卡详细信息、密码或航空公司忠诚计划“蓝天飞行”（Flying Blue Miles）的里程余额未在此次攻击中泄露。但攻击者成功获取了以下个人身份信息： 姓氏 名字 联系方式 “蓝天飞行”会员号及等级 服务请求邮件的主题行 泄露数据强烈表明攻击者入侵了荷航的客户服务合作伙伴或类似服务提供商。 目前尚不清楚有多少人受此次荷航客户数据泄露影响，但受影响者将面临更高的网络安全风险。一方面，攻击者可利用被盗信息进行身份盗用，这通常会导致开设欺诈账户。网络犯罪分子还可能利用数据进行社会工程攻击，冒充航空公司代表针对客户实施诈骗。这类定向骗局常利用客户对航班取消或其他旅行问题的恐慌心理。 荷航的泄露通知声明，航空公司已向荷兰数据保护局报告该事件，同时建议受影响客户保持警惕，谨防可疑信息。 作为法航-荷航航空控股公司的一部分，荷航是欧洲航空业的重要参与者。该公司拥有近200架飞机，去年营收超过145亿美元，员工超36,000人。法航则拥有38,000名员工，年营收近190亿美元。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

这是一个面向黑客新手到资深人士的开放社区，旨在通过问答和学习帮助成员掌握地下技能。社区提供在线交流平台，并邀请成员加入Discord进行互动。

文章介绍了错误代码521的含义及其常见原因。该错误通常与Cloudflare服务相关，可能由IP地址被封禁、网络配置问题或服务器连接异常引起。文章建议用户检查网络设置、联系管理员或等待Cloudflare解封以解决问题。

HackerNews 编译，转载请注明出处： 网络安全研究人员在亚马逊弹性容器服务（Amazon Elastic Container Service, ECS）中演示了一种“端到端权限提升链条”攻击方法。攻击者可利用该漏洞进行横向移动、访问敏感数据并控制整个云环境。 该攻击技术被安全研究公司Sweet Security的研究员Naor Haziz命名为“ECScape”，他于今日在拉斯维加斯举行的Black Hat USA安全会议上公布了这一发现。 “我们发现了一种方法，可以滥用一项未记录的ECS内部协议，获取同一EC2实例上其他ECS任务所属的AWS凭证，”Haziz在分享给The Hacker News的报告中说，“一个拥有低权限IAM（身份与访问管理）角色的恶意容器，可以获取在同一主机上运行的更高权限容器的权限。” Amazon ECS是一项完全托管的容器编排服务，允许用户部署、管理和扩展容器化应用程序，并与Amazon Web Services（AWS）集成以在云中运行容器工作负载。 Sweet Security发现的漏洞本质上允许权限提升：运行在ECS实例上的低权限任务，可以通过窃取凭证劫持同一EC2机器上更高权限容器的IAM权限。 换言之，ECS集群中的恶意应用程序可以伪装成更高权限的任务。这是通过利用在地址169.254.170[.]2运行的元数据服务实现的，该服务暴露了与任务IAM角色关联的临时凭证。 虽然这种方法确保每个任务在运行时获得其IAM角色的凭证，但ECS代理身份的泄露可能允许攻击者冒充该代理并获取主机上任何任务的凭证。完整攻击序列如下： 获取主机的IAM角色凭证（EC2实例角色）以冒充代理 发现代理通信的ECS控制平面端点 收集必要的标识符（集群名称/ARN、容器实例ARN、代理版本信息、Docker版本、ACS协议版本和序列号），使用任务元数据端点和ECS内省API作为代理进行身份验证 伪造并签署代理通信服务（Agent Communication Service, ACS）WebSocket请求，冒充代理并将“sendCredentials”参数设置为“true” 收集该实例上所有运行中任务的凭证 “伪造的代理通道也能保持隐蔽，”Haziz表示，“我们的恶意会话模仿了代理的预期行为——确认消息、递增序列号、发送心跳——因此不会显得异常。” “通过冒充代理的上游连接，ECScape彻底瓦解了该信任模型：一个被攻陷的容器可以被动收集同一EC2实例上所有其他任务的IAM角色凭证，并立即以这些权限行动。” 在共享EC2主机上运行ECS任务时，ECScape可能造成严重后果，因为它为跨任务权限提升、凭证泄露和元数据窃取打开了大门。 在负责任的披露后，亚马逊强调了客户在适用情况下采用更强隔离模型的必要性，并明确在其文档中指出：在EC2中没有任务隔离，“容器可能访问同一容器实例上其他任务的凭证”。 作为缓解措施，建议： 避免在同一实例上部署高权限任务与不可信或低权限任务 使用AWS Fargate实现完全隔离 禁用或限制任务的实例元数据服务（IMDS）访问 限制ECS代理权限 设置CloudTrail警报以检测IAM角色的异常使用 “核心教训是应将每个容器视为可能被攻陷的对象，并严格限制其爆炸半径，”Haziz说，“AWS便捷的抽象（任务角色、元数据服务等）方便了开发者，但当多个具有不同权限级别的任务共享底层主机时，其安全性仅取决于隔离它们的机制——而这些机制可能存在微妙的弱点。” 此漏洞披露正值近期报告多起云安全漏洞之际，包括： 谷歌Cloud Build与GitHub集成中的竞争条件漏洞（可能绕过维护者审查执行未审核代码） Oracle云基础设施（OCI）代码编辑器中的远程代码执行漏洞（可劫持Cloud Shell环境） 名为“I SPy”的攻击技术（利用Microsoft Entra ID中的服务主体进行权限提升和持久化） Azure机器学习服务中的权限提升漏洞（允许存储账户访问者执行任意代码） 旧版AmazonGuardDutyFullAccess策略的范围漏洞（可能导致组织被完全接管） 滥用Azure Arc进行权限提升和持久化的攻击技术 Azure内置Reader角色权限过高及API漏洞（可被串联利用泄露VPN密钥） 谷歌Gerrit中的供应链漏洞“GerriScary”（允许向ChromiumOS等关键项目提交未授权代码） 谷歌云平台配置错误（暴露了互联网交换点内部子网络） “ConfusedFunction”权限提升漏洞的扩展（可适配AWS和Azure平台） “最有效的缓解策略是确保云环境中所有服务账户（SA）遵循最小权限原则，且没有遗留云SA仍在使用，”Talos表示，“确保所有云服务和依赖项均已应用最新安全补丁。若存在遗留SA，请用最小权限SA替换它们。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in huggingface transformers up to 4.50.x and classified as problematic. Affected by this issue is the function get_imports of the file dynamic_module_utils.py. The manipulation leads to inefficient regular expression complexity. This vulnerability is handled as CVE-2025-3264. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in huggingface transformers up to 4.50.x. It has been declared as problematic. This vulnerability affects the function get_configuration_file of the component transformers.configuration_utils. The manipulation leads to inefficient regular expression complexity. This vulnerability was named CVE-2025-3263. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in huggingface transformers up to 4.52.0 and classified as problematic. This issue affects the function token2json of the component API Service. The manipulation leads to inefficient regular expression complexity. The identification of this vulnerability is CVE-2025-3933. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as problematic was found in Mbed TLS up to 3.6.3. This vulnerability affects the function mbedtls_asn1_store_named_data. The manipulation leads to null pointer dereference. This vulnerability was named CVE-2025-48965. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, was found in CloudClassroom-PHP Project 1.0. This affects an unknown part. The manipulation of the argument viewid leads to sql injection. This vulnerability is uniquely identified as CVE-2025-44608. It is possible to initiate the attack remotely. There is no exploit available.

A vulnerability was found in LiveHelperChat 4.60. It has been rated as problematic. Affected by this issue is some unknown functionality of the component Facebook Chat Module. The manipulation of the argument Surname leads to cross site scripting. This vulnerability is handled as CVE-2025-51397. The attack may be launched remotely. Furthermore, there is an exploit available. It is recommended to apply a patch to fix this issue.

A vulnerability was found in LiveHelperChat 4.60. It has been declared as problematic. Affected by this vulnerability is an unknown functionality. The manipulation of the argument Telegram Bot Username leads to cross site scripting. This vulnerability is known as CVE-2025-51396. The attack can be launched remotely. Furthermore, there is an exploit available. It is recommended to apply a patch to fix this issue.

A vulnerability, which was classified as problematic, was found in LinuxServer.io Heimdall up to 2.7.2. Affected is an unknown function. The manipulation of the argument q leads to cross site scripting. This vulnerability is traded as CVE-2025-54597. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Mbed TLS up to 3.6.3. It has been rated as problematic. Affected by this issue is some unknown functionality of the component Block Cipher Handler. The manipulation leads to covert timing channel. This vulnerability is handled as CVE-2025-49087. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

当前环境出现异常，需完成验证后才能继续访问。

当前环境异常需完成验证后方可继续访问。