Aggregator

A vulnerability was found in Bloomberg Comdb2 8.1. It has been rated as problematic. This issue affects some unknown processing of the component CDB2SQLQUERY Protocol Buffer Message Handler. The manipulation leads to null pointer dereference. The identification of this vulnerability is CVE-2025-35966. The attack may be initiated remotely. There is no exploit available.

A vulnerability classified as problematic was found in Bloomberg Comdb2 8.1. Affected by this vulnerability is an unknown functionality of the component net_connectmsg Protocol Buffer Message Handler. The manipulation leads to null pointer dereference. This vulnerability is known as CVE-2025-36520. The attack can be launched remotely. There is no exploit available.

A vulnerability, which was classified as problematic, has been found in Bloomberg Comdb2 8.1. Affected by this issue is some unknown functionality of the component Distributed Transaction Component. The manipulation leads to null pointer dereference. This vulnerability is handled as CVE-2025-48498. The attack may be launched remotely. There is no exploit available.

A vulnerability was found in TP-Link VIGI NVR1104H-4P V1 and VIGI NVR2016H-16MP V2. It has been rated as critical. This issue affects some unknown processing. The manipulation leads to os command injection. The identification of this vulnerability is CVE-2025-7724. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical has been found in Bloomberg Comdb2 8.1. Affected is an unknown function of the component Distributed Transaction Heartbeat Handler. The manipulation leads to reachable assertion. This vulnerability is traded as CVE-2025-36512. It is possible to launch the attack remotely. There is no exploit available.

英国政府制定新法规禁止公共机构支付勒索赎金，并要求企业在支付前通知政府以获得帮助。此举旨在降低黑客攻击积极性，但可能面临报复性威胁和数据泄露风险。

HackerNews 编译，转载请注明出处： 纽约州发布了一系列针对全州供水和废水处理系统的网络安全法规提案。 州长凯茜·霍楚（Kathy Hochul）在7月22日的公开声明中宣布了这些提案。提案包含由纽约州卫生部（DOH）和纽约州环境保护部（DEC）分别制定的、针对水务管理公司的运营技术（OT）安全要求。 同时，纽约州公共服务部（DPS）发布了针对自来水公司、其他公用事业公司及有线电视公司的信息技术安全法规提案。 这些现已开放公众评议的拟议规则，旨在加强关键水务系统的网络弹性，以应对该领域日益增多的攻击。 各机构共同努力，协调统一了每套要求中的定义和条款，并尽量减少重复和冲突的规则。 这些法规旨在与包括美国环境保护署（EPA）和网络安全与基础设施安全局（CISA）在内的联邦机构发布的相关指南保持一致。 除法规外，环境设施公司（EFC）将建立一个新的资助项目，并为保障水务系统安全提供技术援助。 霍楚州长评论道：“针对关键基础设施的网络攻击可能对社区造成毁灭性影响，我们必须立即行动起来，以应对其他关键领域同样的紧迫性和严谨性来保卫我们的供水和废水处理系统。”她接着说：“这些新法规和资助项目反映了我们的承诺，即在帮助资源不足的实体实现现代化的同时，保护公众健康和安全。” 公众可在以下截止日期前提交评议：DEC的评议期至2025年9月3日，DOH至9月14日，DPS至9月14日。 一旦采用，受监管实体须在2027年1月1日前遵守DEC和DOH的法规，并在2026年1月1日前遵守公共服务委员会（PSC）的法规。 新要求内容概要 卫生部 (DOH) DOH规则适用于服务超过3300人的社区供水系统，其中对服务5万人的系统有特定条款。 提案包括建立网络安全漏洞分析的要求。 规则还概述了网络安全计划的基线要求。该计划必须能够履行监管报告要求、提供身份验证和访问管理、维护网络资产清单以及监控和记录网络活动等功能。 所有适用的供水系统必须制定网络安全事件响应计划，并在事件发生后24小时内向DOH报告。此外，相关人员必须每三年至少接受一小时的网络安全培训。 环境保护部 (DEC) DEC条款适用于全州的废水处理设施。它们包含多项基线网络安全控制措施，包括符合最小权限原则的访问控制和身份验证程序。 其他控制措施涉及密码安全、多因素认证（MFA）以及实施网络安全漏洞管理流程。 废水处理设施还必须将OT系统与IT系统分离。 必须制定事件响应计划，在24小时内口头向区域水务工程师报告事件，并在30天内提交书面报告。 公共服务部 (DPS) DPS规则适用于所有服务5万或以上客户的公用事业公司和有线电视公司。 这些组织必须制定网络安全政策，该政策应实施数据屏蔽、多因素认证（MFA）和访问控制等措施，并包含应对网络攻击和从中恢复的计划。 此外，受监管实体必须聘用一名首席信息安全官（CISO），由其每年向公司领导层报告网络安全准备状况。 水务领域威胁上升 专家近年来强调了水务领域日益增长的网络安全风险，威胁范围涵盖出于经济动机的组织到国家支持组织的破坏性攻击。 Semperis在2025年4月的一份报告发现，过去一年中，超过五分之三的美国和英国水电企业成为网络攻击的目标，其中大多数遭受了严重干扰。 2024年8月，美国政府问责署（GAO）敦促环境保护署（EPA）解决供水和废水处理系统面临的网络风险。GAO强调了该领域存在的重大安全风险，包括普遍存在的难以更新网络安全防护的老旧技术，以及OT与IT系统之间日益增长的连接性。 影响供水服务的重大事件包括2024年10月对泽西岛运营商American Water的攻击，该攻击扰乱了计费系统。 2024年9月，堪萨斯州阿肯色城报告其水处理设施遭遇网络安全事件，促使该设施暂时切换为手动操作模式。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了Cloudflare错误代码521的原因及解决方法。该错误通常由网络连接问题、服务器配置错误或DNS设置不当引起。建议检查网络连接、确认服务器状态正常、验证DNS设置是否正确，并联系Cloudflare或网络服务提供商寻求进一步帮助。

A vulnerability classified as critical has been found in Ubertec Help Center Live. This affects an unknown part of the file index.php. The manipulation of the argument TICKET_tid leads to sql injection. This vulnerability is uniquely identified as CVE-2005-1673. It is possible to initiate the attack remotely. Furthermore, there is an exploit available. It is recommended to apply a patch to fix this issue.

瑞士ProtonMail推出Lumo AI助手，基于开源模型构建全程加密数据且不用于训练AI。免费版有配额限制，Lumo Plus每月12.99美元。

决赛倒计时三天！终极对决！挑战者已准备就位！

当前环境出现异常情况，需完成验证后方可继续访问。页面提供验证链接供用户操作。

HackerNews 编译，转载请注明出处： 谷歌宣布推出一项名为“OSS Rebuild”的新计划，旨在增强开源软件包生态系统的安全性，防范软件供应链攻击。 谷歌开源安全团队（GOSST）的Matthew Suozzo在本周的博客文章中表示：“随着供应链攻击持续针对广泛使用的依赖库，OSS Rebuild能为安全团队提供强大的数据来避免遭受入侵，同时无需增加上游维护者的负担。” 该项目旨在为Python Package Index (Python)、npm (JS/TS) 和 Crates.io (Rust) 软件包注册表提供构建溯源（build provenance），并计划将其扩展到其他开源软件开发平台。 OSS Rebuild 的核心思路是结合利用声明式构建定义（declarative build definitions）、构建工具（build instrumentation）和网络监控能力，生成可信的安全元数据。这些元数据随后可用于验证软件包的来源，并确保其未被篡改。 谷歌表示：“通过自动化和启发式方法，我们确定目标软件包的预期构建定义并重建它。我们将结果与现有的上游制品进行语义比较，对两者进行归一化处理，以消除导致比特级（bit-for-bit）比较失败的不稳定因素（例如，归档压缩差异）。” 成功复现软件包后，构建定义和结果将通过 SLSA Provenance 作为证明机制发布。这使用户能够可靠地验证其来源、重复构建过程，甚至从已知功能基线定制构建。 在自动化无法完全复现软件包的情况下，OSS Rebuild 提供了可替代使用的手动构建规范。 谷歌指出，OSS Rebuild 有助于检测不同类别的供应链入侵事件，包括： 包含公共源代码仓库中不存在代码的已发布软件包（例如 @solana/web3.js 事件） 可疑的构建活动（例如 tj-actions/changed-files 案例） 通过人工审查难以识别的、嵌入在软件包中的异常执行路径或可疑操作（例如 XZ Utils 后门） 除了保护软件供应链，该方案还能改进软件物料清单（SBOM）、加速漏洞响应、增强软件包的可信度，并消除组织依赖 CI/CD 平台负责其软件包安全性的需要。 谷歌解释道：“重建工作通过分析已发布的元数据和制品来推导，并与上游软件包版本进行评估。成功后，将为上游制品发布构建证明，验证上游制品的完整性，并消除许多可能的入侵来源。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

文章介绍了错误代码521的含义及其常见原因，并提供了排查和解决问题的方法。

A vulnerability, which was classified as problematic, has been found in Atlassian Confluence up to 5.8.16. Affected by this issue is some unknown functionality of the file rest/prototype/1/session/check. The manipulation of the argument PATH_INFO leads to cross site scripting. This vulnerability is handled as CVE-2015-8398. The attack may be launched remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

QueryDash插件增強Obsidian的Dataview功能，支持過濾、欄位排序、分頁等操作，并可生成任務清單和時間軸視圖。

A vulnerability classified as critical was found in Campcodes Sales and Inventory System 1.0. This vulnerability affects unknown code of the file /pages/settings_update.php of the component Setting Handler. The manipulation of the argument ID leads to sql injection. This vulnerability was named CVE-2025-7933. The attack can be initiated remotely. Furthermore, there is an exploit available.

A vulnerability classified as critical has been found in Nokia WaveSuite NOC. Affected is an unknown function of the component User Management. The manipulation leads to os command injection. This vulnerability is traded as CVE-2025-24938. It is possible to launch the attack remotely. There is no exploit available. It is recommended to apply a patch to fix this issue.

A vulnerability, which was classified as critical, was found in Nokia WaveSuite NOC. This affects an unknown part. The manipulation leads to stack-based buffer overflow. This vulnerability is uniquely identified as CVE-2025-24937. It is possible to initiate the attack remotely. There is no exploit available.

A vulnerability was found in CommScope Ruckus Unleashed 10.5.1.0.279. It has been classified as critical. Affected is an unknown function of the component Web Interface. The manipulation leads to path traversal. This vulnerability is traded as CVE-2025-46120. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.