戴尔正在向 PowerProtect DD 产品客户通报 8 个漏洞，其中许多漏洞被评为“高危”，并敦促他们安装补丁。 漏洞影响 PowerProtect Data Domain (DD) 系列设备，这些设备旨在帮助组织大规模保护、管理和恢复数据。 APEX Protect Storage、PowerProtect DD Management Center、PowerProtect DP 系列设备和 PowerProtect Data Manager 设备也受到影响。 最严重的缺陷是 CVE-2023-44286（CVSS 得分为 8.8），被描述为基于 DOM 的跨站点脚本 (XSS) 问题，允许未经身份验证的远程攻击者将恶意代码注入目标用户的浏览器。 利用该漏洞可能会导致客户端请求伪造、会话盗窃和信息泄露。虽然戴尔的通报中没有具体说明，但利用这些类型的缺陷通常涉及攻击者诱骗受害者点击恶意链接。 其他几个漏洞已被授予“高危”评级，包括操作系统命令注入和不当访问控制缺陷。 命令注入错误可被利用以利用易受攻击的权限在底层操作系统上执行任意命令，并且它们可能允许攻击者接管目标系统。 利用该漏洞需要本地访问权限以及较低或较高的权限。但是，攻击者有可能利用 CVE-2023-44286 等漏洞来实现身份验证要求。 PowerProtect 产品中发现的三个中等危险缺陷可被经过身份验证的攻击者利用，绕过安全限制并接管系统，获得对操作系统文件的读写访问权限，并在应用程序的后端数据库上执行任意 SQL 命令并获得读取访问权限到应用程序数据。 “Dell Technologies 发布了针对影响某些 Dell PowerProtect Data Domain 产品的漏洞的修复措施。我们鼓励客户立即查看并实施戴尔安全通报 (DSA-2023-412) 中针对受影响的产品、版本和其他信息的补救步骤。我们产品的安全性是重中之重，对于保护我们的客户至关重要。”戴尔在 SecurityWeek 分享的一份声明中表示。 该公司表示，它已迅速修复了该漏洞，目前尚未发现任何活跃的利用情况。 值得注意的是，已知戴尔产品漏洞已被复杂的威胁行为者利用进行攻击。 戴尔最近还向客户通报了PowerEdge服务器BIOS中存在高危权限升级漏洞，PowerMax 和 Unisphere 产品，以及影响 VxRail Manager 第三方组件的数十个漏洞。 转自 安全客 ，原文链接：https://www.anquanke.com/post/id/291944 封面来源于网络，如有侵权请联系删除

美国、波兰和英国的政府机构周三表示，俄罗斯对外情报局 (SVR) 一直在利用今年早些时候捷克软件巨头 JetBrains 的一款热门产品中暴露的一个关键漏洞。 官员们表示，在发现数百台受感染的设备后，他们已通知美国、欧洲、亚洲和澳大利亚的数十家公司。 这些机构将这些攻击归咎于被称为 APT29 的俄罗斯SVR黑客——网络安全研究人员也将其追踪为 CozyBear 或 Midnight Blizzard——并表示这场“大规模”攻击活动于 9 月份开始。 微软此前表示，朝鲜黑客在 9 月份利用了这个标记为 CVE-2023-42793 的漏洞。它影响了名为 TeamCity 的产品，开发人员使用该产品在发布之前测试和交换软件代码。 SVR 已被发现“使用通过利用 TeamCity CVE 收集的初始访问权限来升级其权限、横向移动、部署更多后门，并采取其他步骤来确保对受感染网络环境的持续和长期访问”。 一般来说，除了拥有未打补丁、可通过互联网访问的 JetBrains TeamCity 服务器之外，受害者类型不符合任何类型的模式或趋势，这导致人们认为 SVR 对这些受害者网络的利用本质上是机会主义的，并不一定是恶意的、有针对性的攻击。 受到攻击的组织包括能源贸易协会；提供计费、医疗设备、客户服务、员工监控、财务管理、营销、销售和视频游戏软件的公司；以及网络托管公司、工具制造商以及小型和大型 IT 公司。 据  PRODRAFT 的研究人员称，JetBrains于 9 月 20 日发布了针对该关键漏洞的补丁，但随后发布的技术细节导致一系列勒索软件组织立即利用该补丁。超过 1,200 台未打补丁的服务器被发现容易受到该漏洞的影响。 针对软件开发人员 该通报由 FBI、NSA、美国网络安全和基础设施安全局 (CISA)、波兰军事反情报局 (SKW)、波兰国家网络安全中心 CERT (CERT.PL) 和英国国家网络安全中心 (NCSC) 发布。 他们警告说，对 TeamCity 服务器的访问将“让恶意攻击者能够访问该软件开发人员的源代码、签署证书以及破坏软件编译和部署流程的能力——攻击者可以进一步利用这些访问来进行供应链操作。” 该通报指出，SVR 此前利用SolarWinds 软件中的漏洞进行了类似的攻击，但并未以同样的方式利用其对 TeamCity 漏洞的访问权限。 周三的咨询报告中提出的主要担忧之一是，SVR 可能会从数十名使用 TeamCity 的软件开发人员的网络受到损害中受益。 虽然评估 SVR 尚未使用其对软件开发人员的访问权限来访问客户网络，并且可能仍处于运营的准备阶段，但访问这些公司网络为 SVR 提供了实现难以访问的机会。 任何拥有受影响系统但没有立即应用 JetBrains 补丁的组织都应该假设它们已受到损害并开始调查。 这些机构表示，他们发现 SVR 利用该漏洞窃取文件，从而深入了解受害者的操作系统，并使用多种技术“禁用或彻底杀死端点检测和响应 (EDR) 以及防病毒 (AV) 软件”。 SVR 黑客被发现使用多种定制和开源可用工具和后门。 他们表示：“FBI、CISA、NSA、SKW、CERT Polska 和 NCSC 评估了该活动的范围和不分青红皂白的目标对公共安全构成的威胁，并建议组织实施以下缓解措施，以改善组织的网络安全态势。” 持续十多年的网络行动 这些机构指出，SVR 至少自 2013 年以来就有针对全球公共和私人组织网络的悠久历史。SVR 表现出“一种长期的目标模式，旨在收集并能够收集外国情报，对俄罗斯而言，广义概念涵盖外国政治、经济和军事信息；科学和技术; 和外国反情报组织信息。” 该咨询报告补充说，美国政府于 2016 年 12 月发布了一份报告，强调了 SVR 在美国政党在总统选举前的网络攻击行动中所扮演的角色——指的是民主党全国委员会网络遭到黑客攻击。 中央情报局当时告诉美国立法者，大多数机构认为 SVR 进行黑客攻击是为了帮助唐纳德·特朗普赢得总统职位。SVR还攻击了共和党全国委员会，但没有公布从其网络窃取的信息。 2020 年，黑客还利用定制恶意软件针对参与 COVID-19 疫苗开发的组织和能源公司。 根据该通报，SVR 的黑客目前参与了一项名为“外交轨道者”的活动，涉及针对外交机构的入侵，目标是世界各地的数十个大使馆。 微软官方X（原twitter）发布了自己关于 JetBrains 攻击的通知，指出其之前关于与朝鲜政府有关的多个黑客组织利用该漏洞的警告。 这家科技巨头在调查中表示，发现 SVR 黑客使用 VaporRage 恶意软件。他们呼应了执法部门的建议，他们还看到了凭证盗窃、试图关闭防病毒工具以及更深入地访问受感染系统的行为 转自“会杀毒的单反狗”，原文链接https://mp.weixin.qq.com/s/QW3TVk2KbiRDaKtjVkyvuQ?from=industrynews&version=4.1.15.6007&platform=win 封面来源于网络，如有侵权请联系删除

臭名昭著的朝鲜黑客组织 Lazarus 继续利用 CVE-2021-44228（又名“Log4Shell”），这次部署了三个以前未见过的用 DLang 编写的恶意软件系列。 新的恶意软件是两个名为 NineRAT 和 DLRAT 的远程访问木马 (RAT) 以及一个名为 BottomLoader 的恶意软件下载程序。 D 编程语言在网络犯罪活动中很少见到，因此 Lazarus 可能选择它来开发新的恶意软件以逃避检测。 该活动被思科 Talos 研究人员命名为“Operation Blacksmith”（铁匠行动），于 2023 年 3 月左右开始，针对全球制造、农业和物理安全公司。“Operation Blacksmith”代表了 Lazarus 黑客组织所使用的战术和工具的显著转变，再次证明了该威胁组织不断变化的战术。 Dlang（简称 D）于 2001 年发布，是一种基于 C++ 思想构建的多范式系统编程语言，但也从 C#、Eiffel、Java、Python、Ruby 和其他高级语言中汲取灵感。 Dlang 被认为是一种不常见的恶意软件开发编程语言，但已经开始吸引恶意软件开发人员，可能是因为它的多功能性和简单的学习曲线。Dlang 允许开发人员针对多种架构交叉编译应用程序。 新的恶意软件工具 自 2023 年 3 月以来，由朝鲜背景的高级持续威胁 (APT) 攻击者 Lazarus 被发现使用使用 Dlang 构建的三个恶意软件系列，即 NineRAT 和 DLRAT 远程访问木马 (RAT) 以及 BottomLoader 下载程序。 第一个恶意软件 NineRAT。可能于 2022 年 5 月左右构建，使用 Telegram 从其命令与控制 (C&C) 服务器接收命令，可能会逃避检测。部署后，RAT实现持久化，成为与受感染主机交互的主要方式。 该恶意软件可以收集系统信息、升级到新版本、停止执行、自行卸载以及从受感染的计算机上传文件。 NineRAT 包含一个释放器，它还负责建立持久性并启动主要的二进制文件。 该恶意软件支持以下命令，这些命令通过 Telegram 接受： info –     收集有关受感染系统的初步信息。 setmtoken – 设置令牌值。 setbtoken –     设置新的机器人令牌。 setinterval –     设置恶意软件轮询 Telegram 频道之间的时间间隔。 setsleep –     设置恶意软件应休眠/休眠的时间段。 升级– 升级到新版本的植入物。 exit – 退出恶意软件的执行。 uninstall –     从端点卸载自身。 sendfile – 从受感染端点向     C2 服务器发送文件。 第二个恶意软件DLRAT是一种特洛伊木马和下载程序，Lazarus 可使用它在受感染的系统上引入额外的有效负载。它既充当下载程序又充当后门。 它包括用于系统侦察的硬编码命令，但也可以执行下载和上传文件、重命名文件以及从计算机中删除自身的命令。 DLRAT 在设备上的第一个活动是执行硬编码命令来收集初步系统信息（例如操作系统详细信息、网络 MAC 地址等），并将其发送到 C2 服务器。 攻击者的服务器回复受害者的外部 IP 地址和以下命令之一，以便恶意软件在本地执行： deleteme – 使用 BAT     文件从系统中删除恶意软件 download –     从指定的远程位置下载文件 重命名– 重命名受感染系统上的文件 iamsleep –     指示恶意软件在设定的时间内进入休眠状态 upload – 上传文件到C2服务器 showurls – 尚未实施 第三个恶意软件BottomLoader，这是一种恶意软件下载程序，BottomLoader 下载器可以从硬编码 URL 获取并执行有效负载，并且已观察到针对欧洲制造商和韩国物理安全和监控公司部署了自定义代理工具 HazyLoad。 此外，BottomLoader 还为 Lazarus 提供了将文件从受感染系统窃取信息上传到 C2 服务器的能力，从而提供了一定的操作多功能性。 BottomLoader 还旨在通过在系统的启动目录中创建 URL 文件来实现新版本或其删除的有效负载的持久性。 Log4Shell 攻击 Cisco Talos 观察到的攻击涉及利用 Log4Shell，这是 Log4j 中的一个关键远程代码执行缺陷，大约在两年前被发现并修复，但仍然是一个安全问题。 这些目标是面向公众的VMWare Horizon服务器，该服务器使用易受攻击的Log4j日志库版本，允许攻击者执行远程代码。 入侵后，Lazarus 设置了一个代理工具，用于在受攻击的服务器上进行持久访问，运行侦察命令，创建新的管理员帐户，并部署 ProcDump 和 MimiKatz 等凭据窃取工具。 在攻击的第二阶段，Lazarus 在系统上部署 NineRAT，该系统支持广泛的命令，如上一节所强调的。 铁匠行动攻击链 （思科 Talos） 思科报告称，这些恶意软件家族被用作Blacksmith 铁匠行动的一部分，其中 Lazarus 针对未针对臭名昭著的 Log4Shell 漏洞 (CVE-2021-44228) 进行修补的系统，针对南美农业组织和欧洲制造企业部署 NineRAT。 观察到的攻击与朝鲜组织 Onyx Sleet 的活动重叠，也称为 Plutionium 和 Andariel。网络安全行业的普遍共识是，朝鲜背景的黑客组织大多是 Lazarus 组织的分支。 作为“Operation Blacksmith（铁匠行动）”的一部分，Lazarus 在可通过互联网访问的 VMware Horizon 服务器上利用 Log4Shell 进行初始访问，然后进行侦察并部署 HazyLoad 植入程序。在某些情况下，会创建一个新的用户帐户来持久访问系统。 Lazarus 还使用 ProcDump 和 MimiKatz 等实用程序进行凭证转储，然后将 NineRAT 后门部署到系统中。 思科安全研究人员得出的结论是，Lazarus 可能会向其旗下的其他 APT（高级持续威胁）组织或集群提供 NineRAT 收集的数据。 这一假设基于 NineRAT 在某些情况下执行系统“重新指纹识别”的事实，这意味着它可能正在为多个参与者执行系统 ID 和数据收集。 转载自“会杀毒的单反狗”，原文链接https://mp.weixin.qq.com/s/vViG_T_DRLp__vZR1Iwe6A?from=industrynews&version=4.1.15.6007&platform=win 封面来源于网络，如有侵权请联系删除

软件制造商 Adobe 周二推出了面向企业的 Illustrator、Substance 3D Sampler 和 After Effects 产品中代码执行缺陷的修复程序。 作为预定的补丁星期二更新的一部分，Adobe 记录了至少207个安全漏洞，并警告 Windows 和 macOS 系统上的用户存在代码执行、内存泄漏和拒绝服务攻击的风险。 以下是关键严重性问题的片段： Adobe Substance 3D Sampler —此更新解决了至少六（6）个漏洞，这些漏洞可能导致在当前用户的上下文中执行任意代码。受影响的软件包括所有平台上的 Adobe Substance 3D Sampler 4.2.1及早期版本。 Adobe Illustrator —此更新解决了三（3）个可能导致任意代码执行和内存泄漏的严重漏洞。影响 Windows 和 macOS 平台上的 Illustrator 2023和 Illustrator 2024。 Adobe After Effects —此更新修复了四（4）个严重和中等安全漏洞，这些漏洞可能导致当前用户上下文中的任意代码执行和内存泄漏。影响 Windows 和 macOS 用户。 Adobe 还推出了一个重要的Adobe Experience Manager (AEM) 补丁，修复了多达185个已记录的错误，该公司警告称，这些错误可能会被利用来执行任意代码和绕过安全功能。 该公司还发布了针对 Adobe Prelude 软件中的错误、Adobe InDesign 中的内存泄漏和拒绝服务问题、Adobe Dimension 中的内存损坏问题以及 Adobe Animate 中的内存泄漏问题的修复程序。   转自安全客，原文链接https://www.anquanke.com/post/id/291857 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，一个安装了超过9万次的 WordPress 插件中存在一个严重的安全漏洞，威胁攻击者能够利用该漏洞获得远程代码执行权限，从而完全控制有漏洞的网站。（该插件名为”Backup Migration”，可帮助管理员自动将网站备份到本地存储或 Google Drive 账户上） 安全漏洞被追踪为 CVE-2023-6553，严重性评分为9.8/10，由一个名为 Nex Team 的漏洞“猎人”团队发现。该团队发现漏洞后依据最近推出的漏洞悬赏计划，立刻向 WordPress 安全公司 Wordfence 报告了漏洞问题。 据悉，CVE-2023-6553安全漏洞主要影响 Backup Migration 1.3.6及以下的所有插件版本，允许未经认证的威胁攻击者通过/include/backup-heart.PHP 文件注入 PHP 代码获得远程代码执行权限，从而接管目标网站。 接收到漏洞通知后，Wordfence 方面表示威胁攻击者能够控制传递给 include 的值，然后利用这些值来实现远程代码执行。这使得未经身份验证的威胁攻击者可以在服务器上轻松执行代码。通过提交特制的请求，威胁攻击者还可以利用 CVE-2023-6553安全漏洞来“包含”任意的恶意 PHP 代码，并在 WordPress 实例的安全上下文中的底层服务器上执行任意命令。 威胁攻击者尝试在备份迁移插件使用的/includes/backup-heart.php 文件中的第118行的 BMI_INCLUDES 目录（通过将 BMI_ROOT_DIR 与 includes 字符串合并定义）中加入 bypasser.php。但是，BMI_ROOT_DIR 是通过第62行的 content-dir HTTP 标头定义的，因此 BMI_ROOT_DIR 依旧受到用户控制。 备份迁移漏洞代码（Wordfence） 接到通知后，数小时内就发布了安全补丁 12月6日，接到安全漏洞通知后，Wordfence 立刻向 BackupBliss（备份迁移插件背后的开发团队）报告了这一重大安全漏洞，开发人员在数小时后发布了补丁。 坏消息是，尽管备份迁移 1.3.8 插件版本的补丁在漏洞报告发布当天就发布了，但据 WordPress.org org 下载统计显示，近5万个使用漏洞版本的 WordPress 网站在近一周后还是需要进行安全防护。鉴于此，安全研究人员强烈督促管理员尽快安装安全更新，以保护其网站免受潜在 CVE-2023-6553安全漏洞的网络攻击。 最近一段时间，WordPress 爆出了多起安全事件，WordPress 管理员还成为了网络钓鱼活动的目标，威胁攻击者试图利用 CVE-2023-45124虚构漏洞的虚假 WordPress 安全公告作为诱饵，诱骗其管理员安装恶意插件。上周，WordPress  还修复了一个面向属性编程（POP）链漏洞，该漏洞允许未经授权的威胁攻击者在某些条件下（与多站点安装中的某些插件相结合时）获得任意 PHP 代码执行。   转自FreeBuf.COM，原文链接https://www.freebuf.com/news/386335.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 上周，美国网络安全和基础设施安全局（CISA）将两个Qlik Sense漏洞添加到其已知被利用漏洞（KEV）目录中。以下是添加到目录中的问题列表： CVE-2023-41265（CVSS评分9.6）- Qlik Sense HTTP隧道漏洞：Qlik Sense包含一个HTTP隧道漏洞，允许攻击者提升权限并在托管软件的后端服务器上执行HTTP请求。 CVE-2023-41266（CVSS评分8.2）- Qlik Sense路径遍历漏洞：Qlik Sense包含一个路径遍历漏洞，允许远程未经验证的攻击者通过发送恶意构造的HTTP请求创建匿名会话。这个匿名会话可能允许攻击者向未经授权的端点发送进一步请求。 网络安全公司Praetorian的研究人员在2023年8月发现了这两个漏洞。著名研究员Kevin Beaumont指出，攻击者开始利用Praetorian发布的完整漏洞链进行攻击。 Arctic Wolf的研究人员也观察到攻击者在Cactus勒索软件团伙发起的攻击中利用这两个漏洞。 根据绑定操作指令（BOD）22-01：减少已知被利用漏洞的重大风险，FCEB机构必须在截止日期之前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私人组织审查目录并解决其基础设施中的漏洞。 CISA要求联邦机构在2023年12月28日之前修复这些漏洞。   消息来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

谷歌最近宣布了针对今年早些时候在一次黑客竞赛中被利用的几个高和中严重程度的 Chromecast 漏洞的补丁。 谷歌上周宣布了12月份的Android 安全更新，并向客户通报了 Chromecast 缺陷的修复方案。 这家科技巨头告诉用户，其流媒体设备的最新更新总共解决了影响 AMLogic 芯片的三个漏洞，特别是 U-Boot 子组件、KeyChain 中的一个问题，特别是系统组件中的一个问题。 这些漏洞于7 月在HardPwn USA 2023硬件黑客竞赛中亮相，该竞赛与加利福尼亚州的 Hardwear.io 会议同时举行。谷歌、Meta 和 Parrot 产品都是这次活动的目标。 研究人员在这次活动中通过 Chromecast 的开发获得了数百美元到数万美元的收入。 Google 已将发现 CVE-2023-6181和 CVE-2023-48425的功劳归功于 DirectDefense 的 Nolen Johnson、Jan Altensen 和 Ray Volpe；Lennert Wouters、rqu 和 Thomas Roth（stacksmashing）的 CVE-2023-48424；以及 Rocco Calvi (TecR0c) 和 CVE-2023-48417的SickCodes。 DirectDefense 上周发表了一篇博客文章，详细介绍了Johnson、Altensen 和 Volpe 开发的完整安全启动漏洞利用链，他们决定不透露确切的漏洞赏金金额。他们的漏洞不能直接用于远程代码执行，但它可以帮助攻击者在受害者不知情的情况下获得持久的代码执行。 “最大的担忧是 eBay 和其他第三方零售商等平台上的供应链拦截，”约翰逊告诉《安全周刊》。“事实证明，通过这些渠道销售的各种 Android TV 流媒体盒都可能被注入恶意软件。” 研究人员描述了三种攻击媒介，包括 eMMC 故障注入（允许访问 U-Boot shell，但需要高级硬件黑客攻击）、Android 验证启动绕过以及引导加载程序控制块 (BCB) 持久性方法（可永久绕过安全启动。 “在我看来，[BCB 持久性方法]是真正的亮点，因为它允许任何具有 root 访问权限的用户在下次和后续启动时在 u-boot shell 中持久运行代码。这意味着一旦执行一次 eMMC 故障注入，设备就可以在用户不知情的情况下持续被黑客攻击。因此，人们担心供应链受到攻击。”约翰逊解释道。 “此外，这意味着如果任何人曾经有能力通过操作系统级别的漏洞（例如恶意应用程序或其他东西）获得本地根访问权限，他们就可以编写 BCB 并有效地破解设备。” TecR0c 和 Sick Codes 告诉SecurityWeek，他们的 KeyChain 漏洞仅给他们带来了500美元，但指出他们的研究还揭示了一些 Android 漏洞，目前 Google 正在审查这些漏洞。 “安装在同一设备上且能够发送意图的任何应用程序都可能利用此漏洞。攻击者首先需要创建恶意应用程序并说服用户安装它。一旦安装了恶意应用程序，它就可以将精心设计的意图发送到 KeyChainActivity，”研究人员说。 他们补充说：“攻击者将能够操纵 KeyChainActivity 的行为，从而导致执行未经授权的操作。” “根据 KeyChainActivity 如何使用这些 Intent extra，攻击者可能会获得对加密密钥或证书数据等敏感信息的访问权限，或者导致 KeyChainActivity 以对攻击者有利的方式操纵此类数据。这可能允许攻击者执行诸如冒充用户、解密敏感信息或导致拒绝服务等操作。” Wouters、rqu 和 Roth 表示，他们的 Chromecast 漏洞总共为他们赢得了超过68,000美元。 “我们的攻击涉及对设备的临时物理访问，因此它主要用于‘邪恶女仆’、供应链攻击以及从丢失/被盗/废弃设备中恢复数据。执行起来并不是特别困难，但需要拆开设备，”研究人员告诉《安全周刊》。“使用我们的攻击，可以通过安装恶意固件来永久破坏 Chromecast，并从 Chromecast 转储现有的敏感信息（例如 WiFi 凭据等）。此后用户看不到攻击，并且设备仍保持完整功能。” 他们还分享了其他技术细节，“通过在启动过程中的特定时间破坏集成闪存存储 (eMMC) 的信号，我们能够访问集成引导加载程序(U-Boot)的交互式控制台。从那里我们能够修改提供给 Linux 内核的一些引导参数，这使我们能够在 Linux 引导过程的早期访问 root shell。使用它，我们能够覆盖内核模块，这使我们能够以最大权限执行代码，同时继续常规启动过程。”   转自安全客，原文链接https://www.anquanke.com/post/id/291814 封面来源于网络，如有侵权请联系删除

版本 2.0.0至2.5.32和6.0.0至6.3.0.1 受到影响。您需要尽快更新。 Apache 开发人员已针对流行的开源 Web 框架Apache Struts 2中的一个严重漏洞发布了修复程序，该漏洞的标识符为 CVE-2023-50164，该漏洞可能导致远程代码执行 (RCE)。该漏洞的发现者是 Source Incite 的 bughunter Stephen Seely。 CVE-2023-50164允许攻击者操纵文件上传选项，这可能导致路径遍历和上传用于远程代码执行的恶意文件。有关该漏洞的更多详细信息尚未披露。 该问题影响 Apache Struts 版本2.0.0至2.5.32以及6.0.0 至6.3.0.1。反过来，从版本2.5.33和6.3.0.2 开始集成修复。 强烈鼓励 Web 开发人员执行此更新，该过程不会花费太多时间，也不需要对当前配置进行任何更改。 Apache Struts 2经常被攻击者用来进行攻击。这是一个现代的开放式Java框架，用于创建可在企业环境中使用的 Web 应用程序。不再支持其前身 Apache Struts 1。 2017年，美国Equifax网站的安全漏洞以及随后的大规模数据泄露，正是由于Apache Struts 2的漏洞以及责任人没有及时采取措施消除漏洞而造成的。    转自安全客，原文链接https://www.anquanke.com/post/id/291804 封面来源于网络，如有侵权请联系删除

HackerNws编译，转载请注明出处： 来自阿姆斯特丹自由大学的研究人员披露了一种名为SLAM的新侧信道攻击，可被利用来从当前和即将推出的Intel、AMD和Arm处理器的内核存储器中泄漏敏感信息。 该攻击是一种基于Spectre的端到端利用，利用了Intel处理器中称为线性地址掩码（LAM）的新功能，以及AMD（称为Upper Address Ignore或UAI）和Arm（称为Top Byte Ignore或TBI）的类似对应功能。 “SLAM 利用未屏蔽的gadgets，使得用户空间进程能够泄漏任意ASCII内核数据”， VUSec研究人员表示，并补充说，“它可以被利用来在几分钟内从内核存储器中泄漏根密码哈希”。 尽管LAM被提出作为一项安全功能，但讽刺的是，研究发现它实际上降低了安全性并“显著”增加了Spectre攻击面，导致了瞬时执行攻击。这种攻击利用了推测执行，通过缓存隐蔽通道提取敏感数据。 “瞬时执行攻击利用了瞬时指令的微体系结构副作用，从而允许恶意对手访问通常由架构访问控制机制禁止的信息”，Intel 在其术语文档中表示。 被描述为针对未来CPU的第一种瞬时执行攻击的SLAM，利用了一种基于非规范地址转换的新秘密通道，有助于实际利用通用Spectre小工具泄漏有价值的信息。它影响以下CPU： 已知受到CVE-2020-12965影响的现有AMD CPU 未来支持LAM的Intel CPU（包括4级和5级分页） 未来支持UAI和5级分页的AMD CPU 未来支持TBI和5级分页的Arm CPU Arm在一份咨询中表示，“Arm系统已经对抗Spectre v2和BHB，而且被认为是软件自己的责任来保护自己免受Spectre v1的侵害，所描述的技术只是通过增加可利用小工具的数量来增加现有漏洞（如Spectre v2或BHB）的攻击面。” AMD也指出了当前用于应对SLAM攻击的Spectre v2缓解措施。另一方面，Intel打算在未来支持LAM的Intel处理器发布之前提供软件指导。与此同时，Linux维护人员已经开发了用于默认禁用LAM的补丁。 这些发现出现在VUSec揭示了Quarantine的信息近两个月之后。Quarantine是一种仅基于软件的方法，用于缓解瞬时执行攻击并通过将最后一级缓存（LLC）进行分区实现物理领域隔离，使每个安全领域具有对LLC不同部分的独占访问，以达到消除LLC隐蔽通道的目的。 研究人员表示，“Quarantine的物理领域隔离将不同的安全领域隔离在不同的核心上，防止它们共享核心本地的微体系结构资源。此外，它取消了LLC的共享，将其在安全领域之间进行分区。”   内容来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNws编译，转载请注明出处： 研究人员Jose Rodriguez在 Android 14和13中发现了一个能绕过锁屏的漏洞，该漏洞可能会暴露用户 Google 帐户中照片、联系人、浏览记录等多项敏感数据。 几个月前，该研究人员在多个平台上发布消息，包括Twitter、Reddit和Telegram，询问是否可能从锁屏界面打开Google Maps链接，因为他无法在他的Pixel上锁定的情况下完成这个操作。 Rodriguez发现可以绕过锁定屏幕，并声称谷歌也意识到这个问题至少六个月，但尚未解决。 他在5月份向谷歌报告了这个问题，并指出到11月底，谷歌仍然没有计划进行安全更新的日期。 Rodriguez解释说，漏洞利用的影响因用户安装和配置谷歌地图而异。如果激活驾驶模式，严重程度会显著升级。 以下是研究人员描述的两种情况以及相关的严重性级别： 如果用户未激活“驾驶模式”：攻击者可以访问最近和常用的地点（如家、工作地点），同时还能够获取联系人信息，并与联系人实时分享位置，或者通过手动输入攻击者可以进入的电子邮件地址进行位置共享。 如果用户已激活了“驾驶模式”：除了前述访问权限外，攻击者还可以通过链接另一个漏洞访问设备的照片，将其发布或添加为账户的个人资料图片。此外，攻击者还能够访问Google账户或多个账户的广泛信息和配置，有可能从第二个设备获取对该账户的完全访问权限，以及其他尚待调查的内容。 Rodriguez敦促Android用户在手机上测试屏幕锁定绕过功能，并提供他们的评论，包括Android版本和设备的型号。   内容来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文