HackerNews

苹果公司19日发布安全更新，修复了两个被用于攻击Mac用户的安全漏洞，并建议所有用户安装。 苹果在官网发布的安全公告中表示，发现了两个漏洞（CVE-2024-44308、CVE-2024-44309），可能在基于英特尔处理器的Mac系统上“被积极利用”。这类漏洞属于零日漏洞，因为在漏洞被攻击者利用时，苹果尚未意识到它们的存在。 为修复这两个漏洞，苹果发布了一系列软件更新，包括macOS、iOS和iPadOS。 目前尚不清楚针对Mac用户的攻击是由谁发起，也不清楚有多少用户成为目标，或者是否有用户设备已经被成功攻破。这些漏洞由谷歌威胁分析小组报告，该小组专注于调查政府支持的黑客行为和网络攻击。这表明，此次攻击可能涉及某个政府背景的行为者。而政府支持的网络攻击有时会使用商业间谍软件针对目标设备展开行动。 苹果在公告中表示，这些漏洞与WebKit和JavaScriptCore有关。WebKit是Safari浏览器运行网络内容的核心引擎，同时也是恶意攻击者的常见目标。攻击者通常通过利用WebKit引擎中的漏洞，侵入设备的软件系统，进而窃取用户的隐私数据。 安全公告进一步指出，这些漏洞可通过诱使易受攻击的苹果设备处理恶意构造的网络内容（如伪造的网站或电子邮件），触发任意代码执行，从而在目标设备上植入恶意软件。 苹果建议用户尽快更新其iPhone、iPad和Mac设备，以降低安全风险。 苹果生态已成零日攻击高发地带 加上这两个漏洞，苹果在2024年已累计修复了六个零日漏洞。今年的首次修复发生在1月，随后在3月修复了两个漏洞，5月修复了第四个漏洞。 相比2023年修复的20个遭在野利用的零日漏洞，今年的情况有了显著改善。 以下是2023年苹果修复零日漏洞的时间表： 11月修复的两个零日漏洞（CVE-2023-42916和CVE-2023-42917） 10月修复的两个零日漏洞（CVE-2023-42824和CVE-2023-5217） 9月修复的五个零日漏洞（CVE-2023-41061、CVE-2023-41064、CVE-2023-41991、CVE-2023-41992和CVE-2023-41993） 7月修复的两个零日漏洞（CVE-2023-37450和CVE-2023-38606） 6月修复的三个零日漏洞（CVE-2023-32434、CVE-2023-32435和CVE-2023-32439） 5月修复的三个零日漏洞（CVE-2023-32409、CVE-2023-28204和CVE-2023-32373） 4月修复的两个零日漏洞（CVE-2023-28206和CVE-2023-28205） 2月修复的另一个WebKit零日漏洞（CVE-2023-23529）。       转自安全内参，原文链接：https://www.secrss.com/articles/72598 封面来源于网络，如有侵权请联系删除

D-Link 发布了一则安全公告，涉及多款报废 (EOL) 和服务终止 (EOS) 路由器型号，包括 DSR-150、DSR-150N、DSR-250 和 DSR-250N。该公告强调了一个堆栈缓冲区溢出漏洞，该漏洞可能允许未经认证的用户执行远程代码。此关键问题影响运行固件版本 3.13 至 3.17B901C 的这些传统路由器的所有硬件版本。 自 2024 年 5 月 1 日起，D-Link 不再支持或修补这些型号。根据公告，“达到 EOL/EOS 的产品不再接收设备软件更新和安全补丁，D-Link 美国公司也不再提供支持”。 报告的漏洞是堆栈缓冲区溢出，这是一个常见但严重的漏洞，可导致远程代码执行（RCE）。这使得攻击者有可能在没有验证的情况下完全控制设备。受影响的型号包括 DSR-150： 所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-150N：所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-250： 所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-250N：所有硬件版本，固件版本 3.13 至 3.17B901C。 鉴于漏洞的严重性，D-Link 已声明不会为这些型号提供固件更新或补丁，因为它们的支持生命周期已经结束。 D-Link 强烈建议用户淘汰和更换这些路由器。该公司强调：“D-Link 美国公司建议退役和更换已达到 EOL/EOS 的 D-Link 设备。”继续使用不支持的设备会使网络暴露于关键漏洞，增加数据泄露的风险。 对于不确定其设备是否受影响的用户，D-Link 建议通过公告中提供的旧版网站链接检查其型号和固件版本。     转自安全客，原文链接：https://www.anquanke.com/post/id/302053 封面来源于网络，如有侵权请联系删除

美国政府问责局（GAO）19日发布报告指出，联邦机构可能需要重新审视其个人数据处理方式，以更好地保护公众的公民权利和自由。 报告指出，由于缺乏联邦层面的指导原则，联邦机构在数据收集、共享和使用方面形成了一系列零散的政策体系，无法系统性地保障公民权利和自由。 为了解决这一问题，政府问责局建议国会指定“一个适当的联邦机构”，为数据保护制定适用于所有联邦机构的统一指导方针或法规。同时，该机构应被赋予“明确的权限，能够做出必要的技术和政策决策；或者由国会直接明确相关政策选择。” 这一建议基于政府问责局向《首席财务官（CFO）法案》覆盖的24个联邦机构发放问卷后的调查结果。问卷内容涉及这些机构在使用新兴技术和数据能力时的情况，以及它们为确保个人可识别信息的安全所采取的措施。 政府问责局的调查发现，在这24个CFO法案机构中，有16个已经制定了相关政策或程序，以保护公民权利和自由；而另有8个机构尚未采取类似措施。 在这些机构努力保护公众公民权利和自由的过程中，最常遇到的问题包括“新兴技术相关保护措施的复杂性”以及“缺乏具有公民权利、自由保障和新兴技术所需技能的合格人员”。 政府问责局在报告中写道：“此外，这24个机构中有8个认为，额外的政府层面的法律或指导方针能够提高在保护公民权利和自由方面的一致性。一家机构指出，这类指导方针可以帮助消除目前在数据和技术治理方面存在的零散现象。” 报告还指出，这些机构内部均设有办公室，负责“依据联邦法律处理公众公民权利保护相关问题”。这些工作主要集中在处理公民权利的违规行为及相关投诉上。其中，国防部、国土安全部、司法部和教育部等4个机构专门设立了负责管理机构范围内公民自由保护的办公室。而其余20个机构则大多采用“分散化的方法”，通过在数据收集、共享和使用过程中实施保护措施来维护公民自由。 对于政府问责局的这份报告，这些机构并未明确表示支持或反对。不过，住房和城市发展部、社会保障管理局以及美国国际开发署提供了书面反馈，另有10个机构向问责局提交了技术性意见。     转自安全内参，原文链接：https://www.secrss.com/articles/72574 封面来源于网络，如有侵权请联系删除

研究人员发现，黑客可以通过利用近场通信 (NFC) 大规模套现受害者资金的新技术。  地下论坛上的一篇帖子 该技术由 ThreatFabric 命名为Ghost Tap，可让网络犯罪分子从与 Google Pay 或 Apple Pay 等移动支付服务关联并中继 NFC 流量的被盗信用卡中套现资金。 这家荷兰安全公司称：“犯罪分子现在可以滥用 Google Pay 和 Apple Pay，在几秒钟内将您的点击支付信息传输到全球。”“这意味着即使没有您的实体卡或手机，他们也可以在世界任何地方通过您的账户付款。” 这些攻击通常通过诱骗受害者下载手机银行恶意软件来实施，恶意软件可以使用覆盖攻击或键盘记录器来获取受害者的银行凭证和一次性密码。或者，它可能涉及语音钓鱼组件。 一旦掌握了信用卡详细信息，攻击者就会将信用卡与 Google Pay 或 Apple Pay 关联起来。但为了避免发卡机构封锁信用卡，点击支付信息会被转发给若干名“钱骡”（黑色产业链中负责洗钱或提取现金的人），后者负责在商店进行欺诈性购买。 这是通过一种名为NFCGate的合法研究工具实现的，它可以捕获、分析或修改 NFC 流量。它还可用于通过服务器在两个设备之间传递 NFC 流量。 NFCGate开源项目作者德国达姆施塔特工业大学安全移动网络实验室的研究人员表示：“一台设备作为‘读取器’读取 NFC 标签，另一台设备使用主机卡模拟 (HCE) 模拟 NFC 标签。” 尽管 NFCGate 之前曾被不良行为者使用，将 NFC 信息从受害者的设备传输给攻击者，正如ESET 早在 2024 年 8 月使用 NGate 恶意软件所记录的那样，但最新的进展标志着该工具首次被滥用来传递数据。 ThreatFabric 指出：“网络犯罪分子可以在装有被盗卡的设备和零售商的 PoS [销售点] 终端之间建立中继，保持匿名并进行更大规模的套现。” “持有被盗卡的网络犯罪分子可能远离使用该卡的地点（甚至是不同的国家），也可能在短时间内在多个地点使用同一张卡。” 这种策略的优势在于，它可以用来在线下零售商处购买礼品卡，而网络犯罪分子无需亲自到场。更糟糕的是，它可以被用来在短时间内招募不同地点的多名钱骡，从而扩大欺诈计划的规模。 Ghost Tap攻击的检测难度在于，交易看起来好像来自同一台设备，从而绕过了反欺诈机制。连接卡的设备也可能处于飞行模式，这会使检测其实际位置变得困难，并且很难发现它实际上并未用于在 PoS 终端进行交易。 ThreatFabric 指出：“我们怀疑，随着网络的不断发展，通信速度越来越快，再加上 ATM/POS 终端缺乏适当的基于时间的检测，使得这些攻击成为可能，因为带有卡的实际设备物理上远离进行交易的地点（设备不在 PoS 或 ATM 上）。” “由于能够迅速扩大规模并在匿名的掩护下运作，这种套现方式对金融机构和零售机构都构成了重大挑战。”     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/334uX_p2THzcfpBuTMjkyA 封面来源于网络，如有侵权请联系删除

Ubuntu Server（自 21.04 版起）默认安装的 needrestart 包中被发现存在多个已有十年历史的安全漏洞，这些漏洞可能允许本地攻击者在无需用户交互的情况下获得 root 权限。 Qualys 威胁研究部门 (TRU)于上个月初发现并报告了这些漏洞，并表示这些漏洞很容易被利用，因此用户必须迅速采取行动来修复。 据信这些漏洞自 2014 年 4 月 27 日发布的needrestart 0.8引入解释器支持以来就一直存在。 Ubuntu 在一份公告中表示：“这些 needrestart 漏洞允许本地特权升级 (LPE)，这意味着本地攻击者能够获得 root 权限” ，并指出这些问题已在 3.8 版中得到解决。“这些漏洞影响 Debian、Ubuntu 和其他 Linux 发行版。” Needrestart 是一个实用程序，它可以扫描系统以确定在应用共享库更新后需要重新启动的服务，以避免整个系统重新启动。 具体来说，如果服务正在使用过时的共享库（例如在软件包更新期间替换库），它会标记服务以进行重新启动。 由于它集成到服务器映像中，因此 needrestart 设置为在 APT 操作（如安装、升级或删除，包括无人值守升级）后自动运行。其主要作用是识别在关键库更新后需要重新启动的服务，例如 C 库 (glibc)。此过程可确保服务使用最新的库版本，而无需完全重启系统，从而提高正常运行时间和性能。 通过使用最新的库及时更新服务，needrestart 对于维护 Ubuntu Server 的安全性和效率至关重要。 Qualys 威胁研究部门发现的5个漏洞： CVE-2024-48990（CVSS 评分：7.8） – 该漏洞允许本地攻击者通过诱骗 needrestart 使用攻击者控制的 PYTHONPATH 环境变量运行 Python     解释器，从而以 root 身份执行任意代码 CVE-2024-48991（CVSS 评分：7.8） – 该漏洞允许本地攻击者通过赢得竞争条件并诱骗 needrestart 运行自己的伪 Python 解释器，以 root     身份执行任意代码 CVE-2024-48992（CVSS 评分：7.8） – 该漏洞允许本地攻击者通过诱骗 needrestart 使用攻击者控制的 RUBYLIB 环境变量运行 Ruby 解释器，从而以     root 身份执行任意代码 CVE-2024-11003（CVSS 评分：7.8）和CVE-2024-10224（CVSS 评分：5.3）- 这两个漏洞允许本地攻击者利用libmodule-scandeps-perl 软件包（版本 1.36 之前）中的问题以 root 身份执行任意 shell 命令 成功利用上述缺陷可以允许本地攻击者为 PYTHONPATH 或 RUBYLIB 设置特 制的环境变量，从而导致在运行 needrestart 时执行指向攻击者环境的任意代码。 Ubuntu 指出：“在 CVE-2024-10224 中，[…] 攻击者控制的输入可能导致 Module::ScanDeps Perl 模块通过 open() 一个‘讨厌的管道’（例如通过传递‘commands|’作为文件名）或通过将任意字符串传递给 eval() 来运行任意 shell 命令。” “就其本身而言，这不足以实现本地权限提升。然而，在 CVE-2024-11003 中，needrestart 将攻击者控制的输入（文件名）传递给 Module::ScanDeps，并以 root 权限触发CVE-2024-10224。CVE-2024-11003 的修复消除了 needrestart 对 Module::ScanDeps 的依赖。” 虽然强烈建议用户下载最新的补丁，Ubuntu 表示用户可以根据需要禁用解释器扫描器，重新启动配置文件作为临时缓解措施，并确保在应用更新后恢复更改。 Qualys 公司 TRU 产品经理 Saeed Abbasi 表示：“needrestart 实用程序中的这些漏洞允许本地用户通过在软件包安装或升级期间执行任意代码来提升其权限，其中 needrestart 通常以 root 用户身份运行。” “利用这些漏洞的攻击者可以获得 root 访问权限，从而损害系统完整性和安全性。” 参考漏洞公告: https://blog.qualys.com/vulnerabilities-threat-research/2024/11/19/qualys-tru-uncovers-five-local-privilege-escalation-vulnerabilities-in-needrestart https://ubuntu.com/blog/needrestart-local-privilege-escalation       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/VzdXqbGwPXAfqoXZi_9mxA 封面来源于网络，如有侵权请联系删除  

近日，印度竞争委员会已对社交媒体巨头 Meta 处以超过 2500 万美元的罚款，原因系该公司强迫 WhatsApp 用户同意与其他 Meta 平台全面共享数据。 该委员会指责WhatsApp 于2021 年 1 月更新的服务条款协议，该条款告知用户，他们的数据将与Meta的其他平台共享，以提升产品安全性、完整性并改善产品使用及广告推送体验。但用户面临的只有两种选择，要么接受，要么拒绝并无法使用应用。 对此，委员会表示，这一条款违反了印度2002年发布的“竞争法”当中的相关法规，是一种不公平竞争行为。此外，委员会还发现Meta 滥用其在消息应用和在线显示广告市场的主导地位，强迫 WhatsApp 现有用户同意其新的数据共享规则。 委员会最终裁定对Meta处以 21.314 亿卢比（约合2500万美元）的罚款，同时规定Meta在未来五年不得出于广告目的与其他 Meta 平台共享用户数据。出于其他目的收集数据，平台必须向用户详细说明此类数据共享的目的、与其他 Meta 平台共享的数据量，并将每种类型的数据与其相应的目的相关联。 委员会还明确表示，Meta必须让印度用户能够自由选择数据共享处理方式，有权拒绝并能随时修改相关选择。 Meta计划对这一裁决提起上述，称2021年1月的条款对用户来说完全是可选的。“2021 年的更新并没有改变人们个人信息隐私，而是作为当时用户的选择。此次更新是为了在 WhatsApp 上引入可选的业务功能，并进一步提高了我们如何收集和使用数据的透明度 ，”Meta表示。 对于涉及用户的不适当条款，Meta在欧盟已多次受罚。2021年，爱尔兰数据保护委员会对Meta处以 2.25 亿欧元的罚款，原因是该平台使用“强制同意”策略来处理用户数据，而没有为用户提供简单透明的方式选择是否要共享相关数据。 而就在刚过去不久的11月14日，欧盟委员会决定对Meta处以7.9772 亿欧元（约合 8.41 亿美元）的罚款，原因涉及在未事先获得用户是否同意的情况下，将在线分类广告服务 Facebook Marketplace 与个人社交网络Facebook集成。     转自Freebuf，原文链接：https://www.freebuf.com/news/415712.html 封面来源于网络，如有侵权请联系删除

随着Zero Day Quest黑客活动的启动，微软正在加强其漏洞悬赏计划。该活动的潜在奖励高达 400 万美元，主要用于推动云计算和人工智能等关键领域的研究。 活动重点 该活动邀请安全研究人员发现并报告微软人工智能和云赏金计划中具有重大影响的漏洞： AI、Microsoft Azure、Microsoft Identity、M365、Microsoft Dynamics 365 和 Power Platform。 “为了促进人工智能安全，我们将提供双倍的人工智能赏金奖励。我们还将为研究人员提供直接接触微软人工智能工程师（专注于开发安全的人工智能解决方案）和我们的人工智能红队（AI Red Team）的机会。微软安全响应中心（MSRC）工程副总裁汤姆-加拉格尔（Tom Gallagher）解释说：“这个机会将使参与者能够利用最先进的工具和技术提高自己的技能，并与微软合作提高整个生态系统的人工智能安全标准–让每个人都更安全。”他还邀请感兴趣的研究人员注册参加微软人工智能红队的培训课程。 一旦漏洞得到修复，我们将鼓励研究人员公开讨论他们的发现。微软表示，它将通过 “常见漏洞与暴露”（CVE）计划透明地分享云服务漏洞，即使这些漏洞不需要客户采取行动。 零日探索挑战 零日探索 “为参与者提供了两个独特的机会： 研究挑战： 这项挑战向所有人开放，邀请世界各地的研究人员通过发现和报告上述解决方案中的漏洞来展示他们的专业知识。研究挑战赛将从太平洋时间 2024 年 11 月 19 日上午 12:00 开始，持续到太平洋时间 2025 年 1 月 19 日晚上 11:59。 现场黑客活动： 这项仅限受邀者参加的活动将于 2025 年在华盛顿州雷德蒙德的微软园区举行，专为在 2024 年 Azure、Dynamics 和 Office 年度排行榜上排名前 10 位的微软研究人员准备。此外，还将根据参加公开研究挑战赛的实力邀请另外45名研究人员。     转自安全客，原文链接：https://www.anquanke.com/post/id/302015 封面来源于网络，如有侵权请联系删除

近日，美国司法部宣布，涉嫌担任勒索软件组织Phobos软件管理员的俄罗斯男子Evgenii Ptitsyn已被从韩国引渡至美国。他被控利用该勒索软件组织策划和实施了涉及全球逾千名受害者的网络攻击，勒索金额超过1600万美元。 这次引渡行动得到了多个国家的协助，包括韩国、日本和欧洲国家的执法机构。美国司法部副部长丽莎·摩纳哥对此表示：“通过全球执法机构的合作，我们向世界证明，无论网络犯罪分子身在何处，都无法逃避正义。” Ptitsyn目前面临13项指控，包括电信欺诈、电信欺诈共谋、计算机欺诈与滥用共谋，以及与黑客和勒索相关的四项敲诈勒索罪和四项故意损害受保护计算机的罪名。 首创“薄利多销”模式的勒索软件组织 Phobos勒索软件首次被发现于2017年末，其名称来源于希腊神话中的恐惧之神。该勒索软件的运行机制与其他勒索软件家族相似：加密受害者的文件，随后要求支付赎金以换取解密密钥。然而，与一些动辄要求数百万美元的高级勒索软件不同，Phobos的赎金金额相对较小，通常在数千美元至数万美元之间。这种“薄利多销”的商业模式使其对中小型组织尤为具有威胁性。 Phobos的受害者覆盖全球，包括医院、学校、地方政府和企业等关键部门。该勒索软件的攻击通常通过以下方式展开： 远程桌面协议（RDP）漏洞利用：攻击者通过扫描互联网中的RDP端口，利用弱密码或未修复的漏洞获得初始访问权限。 钓鱼攻击：通过精心设计的电子邮件欺骗用户点击恶意链接或附件。 内部人员协助：利用企业内部的安全漏洞或合作人员进行渗透。 一旦攻击成功，Phobos会加密受害者的文件并在每个受感染的目录中放置赎金通知，通常包含攻击者的联系信息和支付比特币的说明。 Ptitsyn被捕对Phobos的影响 Ptitsyn以“derxan”和“zimmermanx”等网名活动，据信是Phobos组织的重要管理员之一。他不仅负责开发和维护Phobos，还向其他犯罪分子提供技术支持和指导。其活动范围广泛，直接参与了多起针对政府和企业的勒索攻击。 根据美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）的警告，Phobos自2020年以来，频繁针对美国的州和地方政府服务发动攻击，对社会基础设施构成了严重威胁。 近年来，Phobos活动频率有所下降。根据网络威胁情报公司Recorded Future的数据显示，与Phobos相关的攻击在最近几个月大幅减少，同时另一个使用Phobos变种的勒索软件组织8Base上个月完全停止了活动。这种变化可能与Ptitsyn的落网直接相关。 然而，网络安全专家警告，不排除Phobos组织在调整策略，或以新身份重返网络犯罪的可能性。勒索软件生态系统的复杂性使得犯罪分子可以迅速更换品牌或加入其他组织，继续其非法活动。 国际合作对抗勒索软件 此次引渡俄罗斯勒索软件组织管理员的行动凸显了国际合作在打击跨国网络犯罪中的重要性。近年来，美国及其盟国通过共享情报和联合执法成功抓捕了多个勒索软件组织的核心成员。例如： 2021年，REvil勒索软件组织的一名主要成员在波兰被捕。 2023年，Hive勒索软件组织的服务器被国际联合行动摧毁。 这表明，全球执法机构正在以更加协同的方式应对勒索软件这一日益增长的威胁，国际合作与技术创新才是打击跨国网络犯罪的关键。       转自Freebuf，原文链接：https://www.freebuf.com/news/415580.html 封面来源于网络，如有侵权请联系删除

Sekoia的威胁检测与研究（TDR）团队发现了Helldown勒索软件的Linux变种，扩大了威胁范围。 Helldown 勒索软件组织以前以针对 Windows 系统而闻名，现在已将其活动范围扩大到 Linux 机器。Sekoia的威胁检测与研究（TDR）团队发现了这一新情况，他们在一条推特上提到了针对Linux系统的Helldown勒索软件的Linux变种。 Helldown 是勒索软件领域的一个相对较新的成员，于 2024 年 8 月首次出现，目前已在美国和欧洲造成 31 名受害者，其中包括 Zyxel 的欧洲子公司。该组织采用双重勒索策略，在加密文件之前先渗出敏感数据，并威胁说如果不支付赎金，就会公布窃取的信息。 Sekoia 已将几起 Helldown 攻击与 Zyxel 防火墙的漏洞联系起来。一个名为 CVE-2024-42057 的关键漏洞允许未经身份验证的代码执行，已被确定为该组织的一个可能入口点。值得注意的是 受攻击的防火墙被发现带有恶意用户账户和有效载荷，如从俄罗斯 IP 上传的 zzz1.conf 文件。 利用漏洞，攻击者可以进一步进入网络，使用高级端口扫描器等工具和命令来瘫痪防御系统 Helldown 的勒索软件以 Windows 和 Linux 系统为目标，具有独特的有效载荷： Windows 勒索软件： 采用阴影副本删除、进程终止和加密。被攻击的系统上会留下一份赎金说明 ReadMe.[encrypt_extension].txt。 Linux 勒索软件： 主要针对 VMware ESX 服务器。它会杀死虚拟机，用 RSA 加密密钥加密文件，并将密钥附加到加密文件中，只能用攻击者的私人密钥解密。 Helldown 通过渗出大量数据进行双重勒索–每个受害者的数据量从 22GB 到 431GB。被盗数据通常包括 PDF 和扫描文档，可能来自网络文件共享驱动器或 NAS 系统。 Helldown 的行为和工具与 Darkrace 和 Donex 有相似之处，两者都源自泄露的 LockBit 3 代码库。不过，这些组织之间尚未建立明确的联系。     转自安全客，原文链接：https://www.anquanke.com/post/id/302006 封面来源于网络，如有侵权请联系删除

流行的 Wget 下载工具中新发现的一个漏洞可能允许攻击者发起服务器端请求伪造（SSRF）攻击。 来自 JFrog 的安全研究员 Goni Golan 在 Wget 中发现了一个漏洞，Wget 是一种广泛使用的命令行工具，用于从互联网下载文件。该漏洞被追踪为 CVE-2024-10524，攻击者可利用该漏洞诱使 Wget 向内部或受限服务器发出非预期请求。 了解漏洞 该漏洞源于 Wget 对速记 URL 的支持，这种传统功能允许用户在某些情况下省略协议方案（如 “http://”）。然而，攻击者可以利用Wget对这些速记URL的处理来操纵请求的目的地。 “我们发现，当使用用户提供输入的HTTP速记格式时，可能会出现意外行为。Wget可能会向不同的主机发出FTP请求，这些主机可能是攻击者控制的主机，也可能是用户通常无法访问的受限主机。这个 SSRF 漏洞可能成为多种类型攻击的起点。 利用场景 戈兰概述了攻击者利用这一漏洞的几种方式，包括 SSRF 攻击： 通过操纵速记 URL，攻击者可以迫使 Wget 向通常无法从互联网访问的内部服务器发送请求。 网络钓鱼攻击： 攻击者可以制作恶意链接，这些链接看似指向合法网站，但实际上会将用户重定向到攻击者控制的服务器。 中间人（MitM）攻击： 攻击者可将自己置于 Wget 和目标服务器之间，拦截并可能篡改数据。 数据泄漏： 攻击者可利用漏洞获取敏感信息，如错误日志或内部主机名。 影响和补救措施 该漏洞影响包括 1.24.5 在内的所有 Wget 版本。我们建议用户更新至 1.25.0 或更高版本，其中包含对该问题的修复。 建议 更新 Wget： 更新至最新版本的 Wget，以解决该漏洞。 对用户输入进行消毒： 如果使用用户提供输入的 Wget，请仔细检查输入内容，防止恶意篡改 URL。 避免使用速记 URL： 尽可能避免使用速记 URL，并在所有 Wget 请求中明确指定协议方案。     转自安全客，原文链接：https://www.anquanke.com/post/id/302009 封面来源于网络，如有侵权请联系删除

Wordfence安全研究员披露重要信息 据Wordfence安全研究员István Márton披露，一个关键的认证绕过了漏洞被暴露在了WordPress的Really Simple Security（以前称为Really Simple SSL）插件中，如果此漏洞被利用，攻击者可以远程获得易受攻击网站的完全管理权限。 这个漏洞，被追踪为CVE-2024-10924（CVSS评分：9.8），影响插件的免费和付费版本。该软件安装在超过400万个WordPress网站上。 这个漏洞是可以脚本化的，意味着它可以被转换成大规模的自动化攻击，针对WordPress网站。 起因是一处不正确的用户检查错误处理 这个漏洞在2024年11月6日披露，在一周后发布的9.1.2版本中已被修补。可能是有被滥用的风险促使插件维护者与WordPress合作，在公开披露之前强制更新了所有运行此插件的网站。 根据Wordfence的说法，这个认证绕过漏洞存在于9.0.0至9.1.1.1版本中，起因是在一个名为“check_login_and_get_user”的函数中不正确的用户检查错误处理，添加双因素认证的一个特性做得不够安全，使得未经认证的攻击者可以在双因素认证启用时，通过一个简单的请求获得对任何用户账户的访问权限，包括管理员账户。 如果被利用，将失去所有网站管理权限 成功利用这个漏洞可能会有严重的后果，因为它可能允许恶意行为者劫持WordPress网站，并进一步将它们用于犯罪目的。 这一信息是Wordfence在透露了WPLMS学习管理系统（WordPress LMS，CVE-2024-10470，CVSS评分：9.8）中的另一个关键缺陷几天后发布的，该缺陷可能允许未经认证的威胁者读取和删除任意文件。 具体来说，4.963之前的版本由于文件路径验证和权限检查不足，这使得未经认证的攻击者能够读取和删除服务器上的任何任意文件，包括网站的wp-config.php文件。删除wp-config.php文件会使网站进入设置状态，允许攻击者通过将其连接到他们控制的数据库来发起对网站的接管。     转自Freebuf，原文链接：https://www.freebuf.com/news/415637.html 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，11月18日，博通发布了紧急警告，称 VMware vCenter Server 中的两个关键漏洞现在正被广泛利用。 这两个漏洞包含一个CVSS评分达9.8分的远程代码执行 （RCE） 漏洞，被跟踪为 CVE-2024-38812。该漏洞源于 vCenter Server 实现 DCE/RPC 协议时的堆溢出问题，具有网络访问权限的攻击者可以通过发送特制数据包来触发此漏洞，从而可能导致远程代码执行和整个系统受损。 第二个漏洞被跟踪为CVE-2024-38813， CVSS 评分7.5，允许攻击者通过发送恶意构建的网络数据包将权限升级到根权限。 这两个漏洞最初是由 TZL 团队的研究人员 zbl 和 srs 在中国 2024 年矩阵杯黑客大赛期间发现并报告，受到影响的版本包括 VMware vCenter Server 7.0 和 8.0 版本以及 VMware Cloud Foundation 4.x 和 5.x 版本。 11月18日，博通发布了最新安全公告，指出 CVE-2024-38812 和 CVE-2024-38813 都已在野外被积极利用。鉴于这些漏洞的严重性和主动利用，博通强烈建议使用受影响的VMware 产品要立即应用最新的安全更新。 博通于 2024 年 9 月 17 日首次发布了针对这些漏洞的补丁，但值得注意的是，该公司在10月21日再度发布了补丁更新，指出先前的修复并不完整，强烈建议用户立刻更新最新的补丁。 目前最新的受影响产品修复版本包括： VMware vCenter Server 8.0：需更新到 8.0 U3d 版本 VMware vCenter Server 7.0：需更新到 7.0 U3t 版本 VMware Cloud Foundation 5.x：将异步修补程序应用于 8.0 U3d版本 VMware Cloud Foundation 4.x：将异步修补程序应用于 7.0 U3t版本 这一事件凸显了及时应用安全更新的重要性，尤其是对于 VMware vCenter Server 等关键基础架构组件。因此建议企业组织审查自身的VMware 部署，应用必要的补丁，并监控是否有任何泄露迹象。鉴于存在远程代码执行和权限提升的可能性，任何可能已暴露的系统都应经过全面的安全评估。     转自Freebuf，原文链接：https://www.freebuf.com/news/415580.html 封面来源于网络，如有侵权请联系删除

美国纽约州一家法院已初步批准一项150万美元（约合人民币1086万元）的和解协议，用于解决针对One Brooklyn Health健康系统的修订后合并拟议集体诉讼。该诉讼源于2022年11月的一次网络攻击事件，该事件导致超过23.5万人的敏感健康数据遭到泄露。 此次事件波及One Brooklyn Health旗下位于纽约市布鲁克林区的三家医院，包括Brookdale医院医疗中心、Interfaith医疗中心和Kingsbrook犹太医疗中心，以及多个护理院和健康诊所。 诉讼指控之一是，One Brooklyn Health未能合理地保护、保障或存储原告和集体成员的个人身份信息和受保护健康信息，导致相关人员面临身份盗窃和欺诈犯罪的风险。 诉讼指控One Brooklyn Health未能合理保护、保障或存储原告及集体成员的个人身份信息和受保护的健康信息，导致相关人员面临身份盗窃和欺诈风险。 诉讼还指控One Brooklyn Health违反了纽约州消费者保护法，并未及时向受影响人员通报数据泄露事件。 One Brooklyn Health否认了所有指控。 人均最高获赔2600美元 根据拟议的和解协议，符合条件的集体诉讼成员可以提交索赔，最高可获得2500美元的实际自付损失赔偿，以及处理数据泄露后果所花费的时间补偿（最高4小时、每小时25美元）。 此外，和解协议允许集体诉讼成员申请两年的信用监控服务。 作为替代选择，集体诉讼成员可以放弃文件损失赔偿和信用监控服务的申请，直接领取一笔固定金额的现金补偿。这笔补偿金额将在扣除其他索赔和费用后由和解基金决定。 和解协议还建议向八名原告每人支付1000美元的服务奖励。根据法院文件，原告律师计划从和解基金中提取高达三分之一的金额（约50万美元），并申请补偿不超过5万美元的诉讼费用。 此外，该协议要求One Brooklyn Health增强数据安全措施。这些改进的费用将由One Brooklyn Health自行承担，与和解基金无关。法院文件并未具体说明One Brooklyn Health将实施哪些安全措施。 纽约州最高法院（位于国王县）计划于2025年2月26日召开和解协议最终批准听证会。 数据泄露详情 此次合并拟议集体诉讼的核心是One Brooklyn Health于2022年11月首次检测到的网络攻击。当时，该医疗机构发现其网络中存在可疑活动。这一事件导致其IT系统，包括电子健康记录和患者门户网站，长达一个多月无法正常访问。 根据One Brooklyn Health于2023年发布的数据泄露通知，调查显示，2022年7月9日至2022年11月19日期间，一名未经授权的行为者从其IT系统中获取了“一定数量”的数据。 调查进一步发现，网络犯罪分子在此次攻击中未经授权访问并窃取了超过23.5万人的个人身份信息，其中包括患者、员工及其配偶、受抚养人和受益人。 受影响的信息包括姓名、社会安全号码、驾照或州身份证号码、出生日期、金融账户信息、医疗治疗记录、处方信息、诊断信息以及健康保险信息等。 截至目前，One Brooklyn Health尚未公开声明此次事件是否涉及勒索软件。 One Brooklyn Health于2023年1月18日向美国卫生与公众服务部（HHS）报告了此次数据泄露，描述为涉及网络服务器的黑客事件，并称影响了500人。这一数字似乎是初步估算。 截至2023年11月8日，HHS民权办公室的《健康保险流通与责任法案》(HIPAA)数据泄露报告工具中仍显示此事件的受影响人数为500人。而根据One Brooklyn Health于2023年4月20日向缅因州总检察长提交的报告，实际受影响人数为235251人。 代表One Brooklyn Health处理数据泄露诉讼的律师未立即回应外媒信息安全媒体集团（ISMG）的置评请求。 原告律师事务所Shub & Johns LLC的律师本杰明·约翰斯（Benjamin Johns）在声明中表示：“我们对法院初步批准和解协议感到满意，并期待进行最终批准。”他未就该案的其他问题作进一步评论。     转自安全内参，原文链接：https://www.secrss.com/articles/72491 封面来源于网络，如有侵权请联系删除

近日，全球网络巨头Palo Alto Networks确认旗下0Day漏洞正在被黑客利用。11月8日，Palo Alto Networks发布了一份安全通告(https://security.paloaltonetworks.com/PAN-SA-2024-0015)，警告客户PAN-OS管理界面中存在一个远程代码执行漏洞，并建议客户确保PAN-OS管理界面访问的安全性。 但随着该漏洞的曝光，Palo Alto Networks在11月15日发现已经有黑客/威胁组织正在利用该漏洞，对用户发起网络攻击，主要目标用户是那些暴露在互联网上防火墙管理界面。 目前还不清楚该漏洞如何暴露，以及受影响的企业范围。该漏洞也还没有分配CVE标识符，CVSS评分9.3分。Palo Alto Networks表示，他们认为Prisma Access和Cloud NGFW产品不受此漏洞影响。 安全措施和建议 目前，Palo Alto Networks正在开发补丁和威胁预防签名，建议客户确保只有来自可信IP地址的访问才能访问防火墙管理界面，而不是从互联网访问。公司指出，大多数防火墙已经遵循了这一Palo Alto Networks和行业的安全最佳实践。 其他受影响的产品：除了上述漏洞，美国网络安全机构CISA还表示，他们知道有三个影响Palo Alto Networks Expedition的漏洞在野外被利用。CISA警告，至少有两个影响Palo Alto Networks Expedition软件的漏洞正在被积极利用，并已将这些漏洞添加到其已知被利用漏洞(KEV)目录中，要求联邦文职行政部门机构在2024年12月5日之前应用必要的更新。 屡屡出现0Day漏洞 值得一提的是，在2024年3月，Palo Alto Networks防火墙产品也曾被曝存在严重安全漏洞，编号 CVE-2024-3400 ，CVSS 评分达10分，具体涉及PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙版本软件中的两个缺陷。 在第一个缺陷中，GlobalProtect 服务在存储会话 ID 格式之前没有对其进行充分验证。Palo Alto Networks 产品安全高级总监 Chandan B. N. 表示，这使得攻击者能够用选择的文件名存储一个空文件。第二个缺陷被认为是系统生成的文件将文件名作为了命令的一部分。 值得注意的是，虽然这两个缺陷本身都不够严重，但当它们组合在一起时，就可能导致未经验证的远程 shell 命令执行。 Palo Alto Network表示，利用该漏洞实施零日攻击的攻击者实施了两阶段攻击，以便在易受影响的设备上执行命令。该活动被命名为Operation MidnightEclipse，涉及发送包含要执行命令的特制请求，然后通过名为 UPSTYLE 的后门运行。 在攻击的第一阶段，攻击者向 GlobalProtect 发送精心制作的 shell 命令而非有效的会话 ID，导致在系统上创建一个空文件，文件名由攻击者命名为嵌入式命令；在第二阶段，定时运行系统作业会在命令中使用攻击者提供的文件名，进而让攻击者提供的命令能以更高的权限执行。利用这种方式，攻击者就能将该漏洞武器化，且不需要在设备上启用遥测功能就能对其进行渗透。       转自Freebuf，原文链接：https://www.freebuf.com/news/415484.html 封面来源于网络，如有侵权请联系删除

流行的 WordPress 备份插件 WP Time Capsule 存在一个严重漏洞，导致 20,000 多个网站容易被完全接管。 该漏洞（CVE-2024-8856）由安全研究员Rein Daelman发现，未经认证的攻击者可将任意文件上传到网站服务器。这意味着恶意行为者有可能注入后门、恶意软件，甚至完全控制网站。 该漏洞源于插件的 UploadHandler.php 文件缺乏文件类型验证，以及缺乏直接文件访问防护。这种危险的组合为攻击者提供了入侵易受攻击网站的直接途径。 该漏洞的 CVSS 得分为 9.8，被列为严重漏洞。这强调了网站所有者立即采取行动的紧迫性。 成功利用此漏洞可能导致 数据泄露： 攻击者可能窃取敏感的用户信息、财务数据或专有内容。 网站篡改： 恶意行为者可能会篡改网站内容，损害网站声誉和用户信任。 恶意软件传播： 网站可能被用来向毫无戒心的访问者分发恶意软件。 完全接管服务器： 攻击者可以完全控制托管网站的服务器。 WP Time Capsule 开发团队已在 1.22.22 版本中解决了这一漏洞。强烈建议所有用户立即更新到该版本。 以下是 WordPress 用户的一些基本最佳实践： 保持更新插件和主题： 定期将所有插件和主题更新到最新版本，以修补安全漏洞。 使用强大的密码： 为 WordPress 管理员账户和所有用户账户选择强大、唯一的密码。 实施双因素身份验证： 启用双因素身份验证，增加一层额外的安全性。 定期备份网站： 备份对于从安全事故或数据丢失中恢复至关重要。 选择信誉良好的插件： 只安装来源可靠、安全记录良好的插件。     转自安全客，原文链接：https://www.anquanke.com/post/id/301939 封面来源于网络，如有侵权请联系删除

众所周知，钓鱼邮件几乎都是以网络为载体进行传播，但在瑞士，网络犯罪分子将这一行为发展到了线下，通过实体信件向受害者传播恶意软件。 据Cyber News消息，有黑客冒充瑞士气象局（联邦气象和气候学办公室），以该部门的抬头发送纸质信件，其中包含一个二维码，要求收件人下载最新的“恶劣天气警报程序”。 为了让受害者尽可能地扫码下载，信中称该信用被要求强制安装，对家庭安全至关重要，因此提示用户使用智能手机扫描二维码，然后按照后续说明下载并安装该应用程序。 瑞士国家网络安全中心 （NCSC） 警告说，网络犯罪分子正在使用这种方法将恶意软件加载到移动设备上。该恶意应用程序试图模仿联邦民防局官方的 Alertswiss 应用程序，该机构使用它来通知、警告和提醒民众。 NCSC透露，如果受害者扫码并安装了程序，就会载入一个名为“Coper”（也称为“Octo2”）恶意软件。Octo2是一个会窃取银行账户凭证的安卓系统木马，在意大利、波兰、摩尔多瓦、匈牙利等国家广泛传播。 除此以外，Octo2还会图访问其他将近400款智能手机应用程序的登录数据，并将其外泄到攻击者控制的服务器上。 但这款“带毒”的冒牌货也可通过肉眼识别出端倪，首先，假冒程序的名称为“AlertSwiss”（S为大写），而不是官方正版的“Alertswiss”（S为小写），此外，二者的Logo也存在些许差异。 瑞士当局已建议用户忽略该信件并将其扔掉。但恶意应用程序可以采取多种形式，伪装成其他应用继续传播。       转自Freebuf，原文链接：https://www.freebuf.com/news/415468.html 封面来源于网络，如有侵权请联系删除

Perception Point 的最新发现揭露了一种先进的两步式网络钓鱼技术，该技术利用 Microsoft Visio 文件（.vsdx）和 SharePoint 发起极具欺骗性的凭证盗窃活动。 Microsoft Visio 文件传统上用于绘制流程图和网络地图等专业图表，但现在已被武器化。Perception Point 的报告显示：“在最近的网络钓鱼活动中，Visio 文件正被用来传递恶意 URL，在两步攻击路径中创建一个欺骗性传递点。” 这种方法利用了用户对 SharePoint 和 Microsoft Visio 等熟悉平台的信任。通过在被入侵的 SharePoint 账户托管的 .vsdx 文件中嵌入恶意 URL，攻击者可以绕过许多标准安全措施。 攻击分为两步，旨在逃避检测和利用用户行为： 第一步：诱惑 攻击者首先利用被攻破的电子邮件账户向目标发送网络钓鱼电子邮件。“这些电子邮件因其来源而看似合法，通常包含令人信服的叙述，如紧急商业提案或采购订单。”这些电子邮件可能包含一个链接或 .eml 文件附件，其中包含一个指向 SharePoint 托管的 Visio 文件的 URL。 第二步：陷阱 点击链接后，受害者会重定向到一个托管 Visio 文件的受攻击 SharePoint 页面。该文件包含一个嵌入式 “行动召唤 ”按钮，通常标注为 “查看文档”。受害者被指示按住 Ctrl 键并点击，这个简单的操作可以绕过自动安全系统。一旦点击，嵌入的 URL 就会将用户引导到一个伪造的 Microsoft 365 登录页面，该页面的目的是收集凭证。“该报告解释说：”与链接互动会将受害者重定向到一个冒充 Microsoft 365 的钓鱼页面。   这种网络钓鱼技术结合了复杂的技术和心理操纵。通过要求用户执行按住 Ctrl 键等手动操作，攻击者可以躲避自动电子邮件安全扫描仪和检测工具。此外，合法品牌（包括组织徽标）的使用也增加了恶意 Visio 文件的可信度。 Perception Point 的研究人员观察到，使用这种方法的攻击明显增加，目标是全球数百家组织。报告警告说，这些活动 “旨在逃避检测和利用用户的信任”，强调了在企业环境中保持警惕的重要性。     转自安全客，原文链接：https://www.anquanke.com/post/id/301944 封面来源于网络，如有侵权请联系删除  

Cisco Talos 最近发现了一个针对欧洲和亚洲政府和教育部门敏感信息的复杂网络活动。该活动由一个讲越南语的威胁分子操纵，利用一种名为 “PXA Stealer ”的新型信息窃取恶意软件。思科的报告显示，PXA Stealer 经过精心设计，可潜入受害者的系统，从网络浏览器和应用程序中窃取一系列关键数据，包括凭证、财务信息和其他敏感信息。 Talos 报告强调：“PXA Stealer 有能力解密受害者的浏览器主密码，并利用它窃取各种在线账户的存储凭证。”这一独特功能使恶意软件能够绕过安全措施，直接访问加密的浏览器数据，让攻击者能够获取用户名、密码、cookie，甚至自动填充信息。 此次活动的目标实体包括印度的教育机构以及瑞典和丹麦等欧洲国家的政府组织。据 Talos 称，“攻击者的动机是窃取受害者的信息，包括各种在线账户的凭证、浏览器登录数据、cookie、自动填充信息、信用卡详细信息、各种加密货币在线和桌面钱包的数据、已安装的 VPN 客户端的数据、游戏软件账户、聊天工具、密码管理器和 FTP 客户端。” 支持 PXA Stealer 的基础架构包括 tvdseo[.]com 等域，这些域疑似已被攻陷或被用于托管恶意有效载荷的合法访问。威胁行为者利用 Telegram 机器人进行数据外渗，有效隐藏并协调敏感数据的传输。Talos 专家发现，“攻击者的 Telegram 账户有传记数据，其中包括一个指向私人杀毒软件检查网站的链接，该网站允许用户或买家评估恶意软件程序的检测率”，这表明这是一种确保 PXA Stealer 不被发现的精心策划的方法。 Cisco Talos 观察到，PXA Stealer 活动开始于一封带有 ZIP 文件附件的钓鱼电子邮件，其中包含一个用 Rust 编写的恶意加载程序。加载程序执行后，会部署多个混淆批脚本，以避免被检测到。Talos 指出，“该过程中的每一步都至关重要，需要精确执行才能实现准确的去混淆”，这凸显了恶意软件传播方式的复杂性。 除了传统的数据窃取，PXA Stealer 还针对流行浏览器中的特定配置文件，提取存储在加密数据库中的登录数据、cookie 和信用卡详细信息。该恶意软件还 “从浏览器的登录数据文件中收集受害者的登录信息”，优先获取与高价值账户相关的信息。     转自安全客，原文链接：https://www.anquanke.com/post/id/301925 封面来源于网络，如有侵权请联系删除

在执法部门和加密侦探迅速追踪到黑客之后，去中心化金融公司 Thala Labs 追回了从其一份养殖合约中窃取的 2550 万美元流动性池代币。 Thala在11月16日的一篇文章中透露，11月15日，该公司遭遇了一个 “安全漏洞”，原因是 “与其v1养殖合约有关的一个孤立漏洞”，该漏洞允许黑客提取流动性代币。 Thala表示，它立即暂停了所有相关合约，冻结了价值1150万美元的Thala相关资产，并迅速查明了黑客的身份。 Thala 表示：“在执法部门、Seal 911、Ogle 和其他人的帮助下，我们很快就确定了漏洞利用者的身份。” 加密侦探 Ogle 说，黑客在事件发生 6 小时后交还了资金，而 Thala 则表示，他们获得了 30 万美元的赏金，以换取用户资产的全部归还。攻击者的身份细节没有披露。 Thala 强调说，“受影响的用户无需采取进一步行动，其头寸将得到 100% 的补偿。” 资料来源：Thala Labs 塔拉实验室 Thala前端的访问已恢复正常。但是，在Thala对协议代码库进行 “广泛审查 ”和重新审核之前，养殖活动仍处于暂停状态，用户无法进行押注和解押。 Thala 首席执行官亚当-卡德尔（Adam Cader）在 11 月 16 日的一篇 X 帖子中指出，这次攻击涉及 Thala 与 Move 的集成，Move 是由 Movement Labs 构建的模块化区块链网络。 “未来在Move上发生一些安全问题是不可避免的，但为什么我们都在这里建设，就是为了让这些问题发生的频率和严重程度大大降低，并且随着时间的推移，相邻的工具变得越来越强大，趋势是0。” Thala 是 Aptos layer-1 区块链上最著名的 DeFi 平台之一。 据CoinGecko称，自事件发生以来，THL代币已下跌约35%，至0.51美元。 在此次漏洞中，价值约250万美元的THL代币被盗，另有900万美元来自Thala的Move Dollar（MOD）稳定币。 与此同时，DefiLlama的数据显示，Thala被锁定的总价值从11月15日的2.4亿美元降至本文撰写时的1.956亿美元。 Thala 协议自 2023 年 4 月以来的 TVL 变化。来源：DefiLlama 资料来源：DeFiLlama 区块链安全公司CertiK报告称，10月份受害者被抢走近1.3亿美元，其中大部分来自漏洞利用。 10 月份最大的事件涉及借贷协议 Radiant Capital，损失约 5400 万美元。 网络安全公司 Hacken 的数据显示，在 2024 年第三季度的前三个月中，黑客在 28 起事件中窃取了约 4.6 亿美元。     转自安全客，原文链接：https://www.anquanke.com/post/id/301933 封面来源于网络，如有侵权请联系删除

阿帕奇软件基金会（Apache Software Foundation）发布了阿帕奇流量服务器（Apache Traffic Server）的安全更新，解决了可能使用户遭受一系列网络攻击的三个关键漏洞。 这些漏洞影响到 9.0.0 至 9.2.5 版和 10.0.0 至 10.0.1 版，包括缓存中毒和潜在的权限升级。 CVE-2024-38479 （CVSS 7.5）： 缓存密钥插件漏洞 此漏洞允许攻击者操纵缓存密钥插件，可能导致缓存中毒攻击。 通过向服务器缓存注入恶意内容，攻击者可将用户重定向到钓鱼网站或发送恶意软件。 CVE-2024-50305 （CVSS 7.5）： 主机字段漏洞 特制的「Host」字段值可引致Apache Traffic Server 崩溃。 此阻断服务漏洞可被利用来干扰网站的可用性及影响合法用户。 CVE-2024-50306 （CVSS 9.1）： 启动时的权限升级 此高严重漏洞源于一个未检查的回传值，可能允许Apache Traffic Server在启动时保留较高的权限。 利用此漏洞，攻击者可对服务器及其数据进行重大控制。 缓解措施 Apache 软件基金会敦促所有用户立即更新其安装。 9.x 分支的用户应升级到 9.2.6 或更高版本，而运行 10.x 分支的用户应升级到 10.0.2 或更高版本。       转自安全客，原文链接：https://www.anquanke.com/post/id/301930 封面来源于网络，如有侵权请联系删除