LoopDNS资讯播报
-
- #数据 截至5月31日,全国各地共发放网约车驾驶员证558.4万本,环比增长3.3%。较2022年年末增加50万本。
来源:交通运输部
mp.weixin.qq.com/s/JfIcsd5Jf…
via 外汇交易员 - 重要: 闲蛋面板疑似出现重大漏洞,攻击者可获取管理员账号进行资金提现及导出服务端全部配置和相关服务器详细信息
漏洞原理: 登录后闲蛋面板直接返回了相关用户的登录信息,包括邮箱及明文密码,普通用户访问特定链接通过查阅 userType:0 即可获取管理员账号及加密密码,登录后与管理员权限相同,可执行全部操作,包括进行支付提现和导出配置数据
注意:管理员密码仅用 MD5 转换一遍,安全级别低,攻击者碰撞成本较低
处置建议: 无,建议关机到发布修复补丁
利用难度: 一般,无特殊环境要求
使用情况: 已出现在野利用
勘误补充: MD5 不是加密算法,因为它不涉及密钥的使用,也不会对原始数据进行加密处理,而是将数据压缩成固定长度的摘要值,常用于数据完整性校验和数字签名等场景。 - 简讯: HiCA 发布公告宣布停止所有服务,告知用户切换其他服务商,同时警告 DDos 攻击者立即停止攻击,否则将会在周一向法院发起诉讼
公告原文:
出于安全事故考虑,HiCA选择在2023年6月6日停止所有服务。所有已签发证书请立即切换到其他CA的产品。由此带来不便我们给所有用户表示深深的抱歉。江湖路远,也许我们会再次见面的。另外有句话给 gzchenjz,请停止 DDoS 行为,所有证据已经固定,如果不停止我们将在周一起诉至法院。
Due to security incidents, HiCA stopped all business since June 6th, 2023. All issued certificates shall consider switch to other CAs service. Deeply sorry to all subscribers. And one word to gzchenjz, please stop from all DDoS behaviors. All evidence gets solid and we shall take lawsuit if you don't stop it. - 简讯: 意大利前总理、AC米兰俱乐部前主席贝卢斯科尼去世,终年86岁
由于肺炎和一种白血病,他在几周前结束了长达 45 天的长期住院治疗后,于上周五返回了圣拉斐尔。
国葬于周三在米兰的大教堂举行
来源: 晚邮报 - WSJ报道,美国将允许韩国、台湾芯片生产商维持在中国的业务。
知情人士透露,美国商务部分管工业和安全的副部长艾伦·埃斯特维兹上周在一次行业聚会上表示,拜登政府打算延长美国出口管制政策的现有豁免期限。
美国去年10月对中国半导体行业实施限制,但同时也给了几家公司为期一年的豁免。
via 外汇交易员 - FT报道,荷兰教育部长称,“鉴于对国家安全构成的潜在风险”,政府计划对中国留学生进行审查。目前已开展一项研究,调查受中国国家留学基金委员会资助的研究人员数量以及涉及的领域。此外,荷兰也准备制定知识安全筛查法来评估风险。
ft.com/content/8609b715-aa2b…
via 外汇交易员 -
- 简讯: Debian 13 预计将在 2025 年左右发布,使用名为 "Trixie" 的代号,它是蓝色的塑料玩具恐龙,最早出现在《玩具总动员 3》。
同时据 Debian 开发者团队在更新邮件内透露 RISC-V 64 位移植其实取得良好进展,但并未实装到 Debian 12 中。很可能会在 Debian 13 中进一步完善,然后提供官方 RISC-V 支持。但新架构的鉴定需要在 Debian Trixie 周期的后期进行,这项工作预计将在一年半到两年后的 Debian 13 beta 版本正式开始。 -
- 重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞,存在盗刷风险
原理: 部分应用内置支付宝支付组件,可在用户无支付宝 App 环境下快捷付款,但该组件存在可被抓包劫持的问题,攻击者可通过流量抓包捕获验证码请求,并篡改短信获取手机号码实现验证码登录,但支付仍然需要支付密码才能成功支付
漏洞级别:重要[需要用户注意]
漏洞利用难度: 一般[攻击者需要持有目标多项信息,但信息获取难度较低,虽然支付宝存在安全风控防护,但仍然存在被批量风险]
注意: 由于国内隐私问题,大量公民个人信息泄露,攻击者非常容易凑齐大量公民的手机号码,户主名称以及身份证号码,加上用户习惯性的将自己生日或某账号等设置为自己的六位数支付密码,攻击者非常容易实现批量碰撞盗刷
由于支付组件会缓存用户登录信息方便快捷付款。所以登录状态可能会出现被长时间缓存至攻击者设备内,但每次付款仍然需要输入支付密码,但更改支付密码并不能将所有设备踢出支付状态。
攻击者在获取登录状态过后,可持续性的查看账号内的金额,绑定卡片等一系列私密信息
处置建议: 更改自己支付宝支付密码,尽量不要使其与自己身份产生关联,采用随机六位数字,避免使用生日等重要日期,开启支付宝通知权限,及时获取支付消息,确保每一笔支付由本人支付
注意: 由于支付宝存在安全支付风控措施,所以攻击者只能尝试进行小额支付,用户需注意自己账户是否出现密集的小额扣款及未知小额扣款 - 简讯: 6月10日,国铁集团在12306网站(含手机客户端,下同)试行在线选铺服务,选择通达全国各区域的230趟高铁、普速旅客列车作为试点,对普速列车软卧、硬卧和动车组软卧、一等卧、二等卧等铺别提供在线自主选铺服务,同时,继续实行对60岁以上老人等重点旅客优先分配下铺的服务。
- Twitter 将开始为创作者在回复中投放的广告付费。
马斯克在推文中说到:几周后,X/Twitter 将开始为创作者在回复中投放的广告付费。 第一笔大笔付款总额为 500 万美元。
请注意,创作者必须经过验证,并且只有投放给经过验证的用户的广告才算数。
来源:马斯克推特 - [漏洞/一般] ACME 客户端证书获取过程中存在可执行任意代码/命令注入漏洞,且中国证书颁发机构 HiCA 在运行过程中滥用了这个漏洞
原理:acme.sh 处理 ACME 数据时,如果服务器返回的响应不是预期的 JSON 格式,而是其他任意内容,那么 acme.sh 会将这些内容原样输出。在这种情况下,HiCA 利用这个特性,通过 Unicode 生成一个二维码,然后注入到 ACME 数据中。然后输出了一个二维码
据 Matt Holt 表示这是他知道的首次对 ACME 生态系统的公然滥用,同时担忧未来可能还会出现更多相同行为。他建议避免使用需要特定 ACME 客户端或有其他不寻常的限制/要求的证书颁发机构,并始终保持你的客户端最新
威胁:一般 ,但漏洞可远程执行 .sh 脚本,且需要使用者注意 [实际的远程代码执行(RCE)威胁相对较低,因为用户需要明确配置一个违反 ACME 规定的恶意证书颁发机构]
处置建议:用户在配置 CA 时应避免使用未经信任或未经审核的 CA,并尽量不要使用未经审核的第三方客户端
注意:本次漏洞通报中没有直接证明 HiCA 存在恶意行为,且需要注意的是 acme.sh 存在被第三方劫持的安全漏洞
相关链接:GITHUBGitHubacme.sh runs arbitrary commands from a remote server · Issue #4659 · acmesh-official/acme.shHello, You may already be aware of this, but HiCA is injecting arbitrary code/commands into the certificate obtaining process and acme.sh is running them on the client machine. I am not sure if thi... - Spotify 正在测试智能离线下载
Spotify CEO 丹尼爾·埃克发布推文说到:“ 我们一直在测试一个名为“你的离线混合”的新功能 ,这是一个为你离线时设计的播放列表。” 这个功能类似于 YTmusic 的智能下载。
来源:丹尼爾·埃克推特 - Politco消息,美国国务卿布林肯将在下周访华。熟知布林肯日程安排的人士称,布林肯会在结束中东之行后前往北京。
Blinken is on track to arrive in Beijing following his current trip to the Middle East next week.
via 外汇交易员 -
- 唐纳德特朗普在佛罗里达州因秘密文件案被起诉
美国的指控包括文件保留、串谋阻挠,特朗普被告知周二将在迈阿密的联邦法院出庭。
据三位知情人士透露,唐纳德特朗普因拒绝归还在佛罗里达州家中发现的机密文件而被起诉。迈阿密联邦法院的起诉非同寻常,因为从未有过一位前总统被指控犯有联邦罪行。
这几乎肯定会颠覆 2024 年大选中成为共和党总统候选人的竞争,这意味着如果特朗普被定罪,他可能会面临牢狱之灾或被取消担任公职的资格,具体取决于指控。
据一位要求匿名讨论机密信息的知情人士透露,起诉书是密封提交的,包含七项罪名,包括故意保留国防信息、腐败隐瞒文件、串谋妨碍司法公正和作出虚假陈述。该文件可能会在周五公布。
来源:彭博社 -
