HackerNews 编译，转载请注明出处： 主流媒体音乐平台 Spotify 于周一作出回应，针对某开源组织周末公开的、包含从其平台爬取的 8600 万首歌曲的文件采取行动。 自称 “人类历史上最大的真正开放图书馆” 的 “安娜档案库”（Anna’s Archive）周六表示，该组织发现了一种大规模爬取 Spotify 文件的方法，并随后发布了包含音乐元数据和歌曲本身的数据库。 Spotify 的一位发言人向Recorded Future 透露：“我们已识别并禁用了参与非法爬取的恶意用户账户。” 该发言人强调：“我们已针对此类反版权攻击实施了新的防护措施，并正在积极监控可疑行为。自成立以来，我们始终与艺术家群体站在一起，打击盗版行为，同时正与行业合作伙伴密切合作，保护创作者及其合法权益。” 发言人补充称，安娜档案库在发布文件前未与 Spotify 取得任何联系，且此次事件并不属于对 Spotify 的 “黑客攻击”。泄露数据库的相关人员在数月内，通过第三方注册的用户账户对平台部分音乐进行流媒体抓取，系统性违反了 Spotify 的服务条款 —— 而非通过入侵平台商业系统实现。 安娜档案库周末发布博客文章介绍了该音乐缓存库，文中提到，尽管其核心工作通常聚焦于文本类资源，但该组织 “保护人类知识与文化遗产” 的使命 “并不区分媒介类型”。 “有时我们会遇到文本之外的重要机会，此次便是如此。不久前，我们发现了一种大规模爬取 Spotify 的方法。我们认为自身有责任搭建一个以保存为主要目的的音乐档案库。” 文章写道。 “这次对 Spotify 的爬取，是我们为建立这样一个音乐‘保存档案库’所做的微薄尝试。当然，Spotify 并未收录世界上所有的音乐，但这无疑是一个良好的开端。” 此次完整发布的资源包含一个涵盖 2.56 亿首歌曲的音乐元数据库，此外安娜档案库还整合了一个近 300 太字节（TB）的批量文件，内含 8600 万首音乐文件，占 Spotify 平台总播放量的约 99.6%。另有一个较小的文件专门收录了平台最受欢迎的 1 万首歌曲。 这些文件覆盖了 2007 年至 2025 年 7 月期间 Spotify 平台上发布的所有音乐。安娜档案库称其为 “目前公开可获取的规模最大的音乐元数据库”。 该组织表示：“在大家的支持下，人类的音乐遗产将永远免受自然灾害、战争、预算削减及其他灾难的破坏。” 博客文章还披露了从 Spotify 数据中发现的显著趋势：平台播放量前三的歌曲 —— 比莉・艾利什（Billie Eilish）的《Birds of a Feather》、Lady Gaga 的《Die with a Smile》以及巴德・bunny（Bad Bunny）的《DtMF》—— 其总播放量之和，超过了末尾 2000 万至 1 亿首歌曲的播放量总和。 安娜档案库因多次侵犯版权已在多个国家被封禁，该组织成立于 2022 年执法部门关闭 “Z 图书馆”（Z-Library）之后。2022 年，美国司法部逮捕并起诉了两名运营 Z-Library 的俄罗斯公民，当时该平台号称 “世界上最大的图书馆”，声称拥有至少 1100 万册电子书可供下载。 Z-Library 被关闭数天后，安娜档案库应运而生，整合了该网站以及互联网档案馆（Internet Archive）、 genesis 图书馆（Library Genesis）、科学枢纽（Sci-Hub）等多个免费在线图书馆的资源记录。 截至 12 月，安娜档案库已收录超过 6100 万册图书和 9500 万篇论文。多个国家的版权方曾试图起诉该组织，谷歌则于 11 月表示，在出版商提出下架请求后，已从其搜索引擎中移除了近 8 亿条指向安娜档案库的链接。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Hackernews 编译，转载请注明出处： 安全公司Oxeye的研究人员在Spotify的后台发现了一个关键的远程代码执行漏洞（CVSS评分为9.8）。Backstage是Spotify用于构建开发人员门户的开源平台，它被多个组织使用，包括美国航空公司、Netflix、Splunk、Fidelity Investments和Epic Games。 此问题可通过触发vm2第三方库中最近披露的虚拟机沙箱逃逸漏洞（CVE-2022-36067 又名Sandbreak）来利用。 Oxeye研究人员通过Spotify的漏洞赏金计划报告了这个RCE漏洞，Backstage开发团队在1.5.1版本中迅速修复了这个漏洞。 “未经身份验证的黑客可以通过利用Scaffolder核心插件中的vm2沙箱逃逸，在Backstage应用程序上执行任意系统命令。”Oxeye发布的建议写道。 该漏洞存在于允许开发人员在Backstage中创建组件的软件模板工具中。 研究人员解释说，模板引擎利用vm2库来防止不可信代码的执行。 “在审查如何限制这种风险时，我们注意到可以通过在隔离环境之外使用带有Nunjucks的用户控制模板，来运行shell命令。因此，Backstage开始使用vm2 JavaScript沙盒库来降低这种风险。在早期的研究论文中，Oxeye发现了一个vm2沙盒逃逸漏洞，导致主机上的远程代码执行（RCE）。 研究人员在Shodan中对Backstage favicon哈希进行了简单的查询，并发现了500多个暴露在互联网上的Backstage实例。 专家们注意到，默认情况下部署Backstage时没有身份验证机制或授权机制，允许来宾访问。一些公开的Backstage实例不需要任何身份验证。 通过进一步的测试，专家们可以确定，在许多情况下，不需要身份验证就可以利用该漏洞。 “任何基于模板的虚拟机转义的根源都是在模板中获得JavaScript执行权限。通过使用“无逻辑”模板引擎（如Mustache），可以避免引入服务器端模板注入漏洞。尽可能将逻辑与演示文稿分离，可以大大减少您受到最危险的基于模板的攻击风险。有关缓解基于模板的漏洞的更多信息，请参阅PortSwigge的技术公告。如果您使用Backstage进行身份验证，请同时在前端和后端启用它。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文