Skip to main content

LoopDNS资讯播报

LoopDNS资讯播报
LoopDNS资讯播报
LoopDNS 综合资讯---简洁,及时,快速,准确


频道: @DNSPODT

电报讨论组: @LoopDNS

撤稿流程: https://t.me/loopdns/107752

  2. 重要/漏洞:NGINX Rift / NGINX ngx_http_rewrite_module 堆缓冲区存在溢出漏洞

    漏洞编号:CVE-2026-42945
    重要等级:重要[需要关注的]
    CVSS 分数:CVSS v4.0:9.2 Critical;CVSS v3.1:8.1 High
    注:NGINX 官方安全页将该项标注为 medium,但 F5/CNA 与 NVD 记录显示其在特定条件下可导致高危影响。

    影响范围:
    NGINX Open Source 0.6.27 至 1.30.0 受影响,1.30.1 与 1.31.0 及以上版本不受影响。

    NGINX Plus R32 至 R36 也在公开影响范围内;部分基于 NGINX 的 F5/NGINX 产品,如 NGINX Instance Manager、F5 WAF for NGINX、NGINX App Protect、NGINX Gateway Fabric、NGINX Ingress Controller 等也被列入影响范围。


    触发条件:
    受影响版本的 NGINX 配置中同时存在以下模式时风险较高:
    1. 使用 rewrite 指令;
    2. rewrite 的替换字符串中包含问号 ?;
    3. 后续同一作用域内跟随 rewrite、if 或 set 指令;
    4. 使用未命名 PCRE 捕获组变量,如 $1、$2。


    漏洞原理:
    该漏洞源于 NGINX ngx_http_rewrite_module 中脚本引擎的状态传递不一致。当 rewrite 的 replacement 中包含 ? 时,主脚本引擎会进入 query string 参数处理状态,即设置 is_args = 1。随后如果 set 等复杂值处理逻辑引用 $1、$2 这类捕获组,NGINX 会先进行长度计算,再进行实际拷贝。问题在于长度计算阶段使用的是一个重新初始化的子引擎,该子引擎没有继承 is_args 状态,因此按原始长度分配缓冲区;而实际拷贝阶段仍在主引擎上执行,会按 query args 转义规则写入数据,导致部分字符被扩展为 %XX 形式,最终写入长度大于分配长度,形成堆缓冲区溢出。


    漏洞概述:
    攻击者在无需认证的情况下,只要能够向满足触发条件的 NGINX 服务发送特制 HTTP 请求,就可能触发 NGINX worker 进程中的堆内存破坏。根据 NVD/F5 描述,该漏洞可导致 worker 进程堆缓冲区溢出和重启;在 ASLR 关闭的系统上,存在代码执行可能。

    DepthFirst 的技术分析进一步说明,在特定实验环境中,该堆溢出可被构造成对 NGINX 内存池 cleanup 链表的劫持,从而证明其具备 RCE 可利用性;但在真实环境中,稳定 RCE 还依赖地址随机化绕过、堆布局控制等额外条件。


    风险描述:
    1. 攻击者可通过构造恶意 URI 触发 NGINX worker 进程堆溢出,造成 worker 崩溃或反复重启,影响业务可用性。
    2. 在 ASLR 关闭或被绕过的环境中,漏洞存在进一步发展为远程代码执行的风险。
    3. 暴露在公网的反向代理、API 网关、Ingress Controller、边缘代理服务风险更高,因为攻击面位于 HTTP 请求处理路径,不依赖控制台或管理面暴露。
    4. 使用复杂 rewrite/set 配置、历史遗留 API 路由迁移配置、Ingress 自动生成 rewrite 规则的环境,需要重点排查。


    影响组件:
    NGINX ngx_http_rewrite_module,以及依赖该模块并满足触发配置条件的 NGINX Open Source、NGINX Plus 和相关 F5/NGINX 产品。


    处置建议:
    1. 优先升级至 NGINX Open Source 1.30.1 stable 或 1.31.0 mainline 及以上版本,并在升级后重启或 reload NGINX worker,确保新二进制生效。
    2. 如暂时无法升级,建议将未命名捕获组 $1、$2 改为命名捕获组,并避免在同一 rewrite 作用域中让包含 ? 的 replacement 影响后续 complex value 处理。
    3. 保持 ASLR 启用,ASLR 虽然不能修复漏洞本身,但可显著提高从 worker 崩溃进一步发展为稳定代码执行的难度。


    参考来源: CVE-2026-42945

  5. LoopDNS资讯播报
    习近平指出,事实一再证明,贸易战没有赢家,中美经贸关系的本质是互利共赢,面对分歧和摩擦,平等协商是唯一正确选择。昨天,双方经贸团队达成了总体平衡积极的成果,对两国老百姓、对世界都是好消息。双方应一道维护好当前来之不易的良好势头。 来源:新华社
    白宫官员证实,美国总统特朗普与中国国家主席举行了卓有成效的会晤。双方重点讨论了加强经济合作的路径,包括扩大美国企业对华市场准入、增加中国对美投资,并计划提升美国农产品与石油对华出口贸易额。
    在地区安全与全球治理方面,两国领导人达成多项共识,强调伊朗绝不能拥有核武器,并确保霍尔木兹海峡保持开放。此外,双方一致同意深化合作,共同打击前体化学品流入美国,以遏制芬太尼泛滥问题。

    来源:FirstSquawk 2 3 4 5 6 7 / AlArabiya_Eng

  6. 中美两国商界领袖计划在北京一家顶级俱乐部举行的晚间聚会上进行交流。俱乐部的一位经理表示,通常举办贵宾活动的50层在周三至周五不对外开放。
    京城俱乐部由中信集团与美国的俱乐部管理集团于1994年共同成立,是中国第一家国际化商务俱乐部。

    来源:WSJ

  7. LoopDNS资讯播报
    路透:英伟达黄仁勋加入特朗普中国行,引发 H200 交易希望 一位知情人士表示,特朗普在媒体报道黄仁勋未被邀请后,于周二致电黄仁勋。 英伟达发言人表示,"黄仁勋应特朗普总统的邀请参加峰会,以支持美国及政府的目标," 白宫发言人表示,黄仁勋的行程有所变动,最终得以安排他参加。 中国一家大型云公司的人士告诉路透,黄仁勋的出席是一个信号,表明这场旷日持久的僵局可能产生积极的结果。
    美国批准英伟达 H200 出口中国企业,涵盖阿里巴巴等巨头

    美国商务部已批准约 10 家中国公司——包括阿里巴巴、腾讯、字节跳动和京东——以及联想、富士康等经销商,通过许可安排购买英伟达(Nvidia)的 H200 AI 芯片。该协议允许每家客户采购最多 7.5 万颗芯片。

    尽管已获批准,但目前尚未完成任何交付。据知情人士透露,由于北京方面的非正式指导,以及政府对依赖外国 AI 硬件的审查日益严格,中国企业已表现出退缩迹象。与此同时,中国正加快力度推广华为等国产芯片替代方案。

    此次出口受阻再次凸显了美中之间持续的科技紧张局势。尽管英伟达首席执行官黄仁勋(Jensen Huang)已加入美国代表团前往北京,试图推进该协议并恢复对华芯片出口,但进展依然缓慢。

    来源:路透社

  9. LoopDNS资讯播报
    中美在韩国举行经贸磋商 当地时间5月13日,中美经贸中方牵头人、国务院副总理何立峰与美方牵头人、美国财政部长贝森特在韩国举行经贸磋商。双方以两国元首重要共识为指引,秉持相互尊重、和平共处、合作共赢的原则,就解决彼此关注的经贸问题和进一步拓展务实合作进行了坦诚、深入、建设性的交流。 来源:央视新闻
    习近平指出,事实一再证明,贸易战没有赢家,中美经贸关系的本质是互利共赢,面对分歧和摩擦,平等协商是唯一正确选择。昨天,双方经贸团队达成了总体平衡积极的成果,对两国老百姓、对世界都是好消息。双方应一道维护好当前来之不易的良好势头。

    来源:新华社

  11. 鲁比奥贝森特等将参加中美元首会谈

    中国媒体报道,美国国务卿鲁比奥、美国国防部长赫格塞斯、美国财政部长贝森特将在星期四(5月14日)参加中美两国元首会谈。

    来源:联合早报

  12. 美国参议院以54-45票(同类表决中分歧最大)的结果确认凯文·沃什为美联储主席。

    沃什的得票率低于耶伦(56-26)。以往美联储提名人获得两党支持是惯例,格林斯潘首任美联储主席时甚至得到参议院接近全票(91-2)支持。

    来源:外汇交易员

  13. 路透:美国和中国考虑降低非敏感商品的关税

    双方可能会各自确定价值约300亿美元的商品,在这些商品上,他们可以降低关税并相互出售,双方预计还将讨论尚不成熟的“投资委员会”概念,以处理投资问题。

    来源:路透社

  15. 重要/漏洞:Linux Kernel Fragnesia XFRM ESP-in-TCP page cache 存在写入本地提权漏洞

    漏洞编号:暂无
    关联/同类参考编号:CVE-2026-43284(Linux xfrm/ESP shared skb frag 原地解密问题);Dirty Frag 关联链路另涉及 CVE-2026-43500(RxRPC)。NVD 对 CVE-2026-43284 的描述明确指向 Linux kernel xfrm ESP 在 shared skb frags 上避免原地解密的问题。
    重要等级: 严重(高危)

    CVSS 分数:
    参考关联 CVE-2026-43284:CVSS v3.1 7.8

    受影响系统:
    受 dirtyfrag 影响的所有版本都会受到影响。
    Fragnesia 属于 Dirty Frag 漏洞类别。它是 ESP/XFRM 中的一个独立漏洞,与 Dirty Frag 不同,后者已有单独的补丁。但是,它们位于同一攻击面上,缓解措施也与 Dirty Frag 相同。

    报告者称,未合入 2026 年 5 月 13 日 net: skbuff: preserve shared-frag marker during coalescing 修复补丁的 Linux 内核均可能受影响。实际风险需结合系统内核版本、发行版补丁回移情况、内核配置、ESP/XFRM 相关模块、user namespace / network namespace 策略以及容器权限配置综合确认。

    受影响内核条件:
    使用了存在 skb shared-frag 标记丢失问题的 Linux 内核,并且未合入 net: skbuff: preserve shared-frag marker during coalescing 修复补丁的系统。公开 PoC 仓库说明,该 PoC 利用 Linux XFRM ESP-in-TCP 子系统逻辑缺陷,对只读文件的 page cache 实现任意字节写。


    漏洞原理
    该漏洞核心问题在于:Linux 内核在 TCP skb coalescing 过程中,没有正确保留 skb frag 的 shared-frag 标记。修复补丁说明,skb_try_coalesce() 可以把一个 skb 的 paged frags 转移到另一个 skb;如果来源 skb 带有 SKBFL_SHARED_FRAG,合并后的目标 skb 仍然可能包含外部拥有或 page-cache-backed 的 frag,但旧逻辑会丢失该标记。之后 ESP input 检查 skb_has_shared_frag() 时可能得到 false,从而跳过 copy-on-write,直接在 page-cache-backed frag 上原地解密。

    攻击链路中,splice() 可将普通文件的 page cache 页引入 TCP skb paged frag。正常情况下,这类 frag 应被视为共享/外部拥有,后续可能写入 packet data 的协议栈路径应先执行 COW,避免修改文件页缓存。Fragnesia 利用的异常点是:数据进入 TCP receive queue 后再启用 ESP-in-TCP ULP,内核把这些排队数据当作 ESP 记录处理,而 shared-frag 标记在 coalescing 后丢失,导致 ESP 解密逻辑误认为可以原地写入。

    在 ESP/AES-GCM 解密过程中,密文与 keystream 做 XOR。PoC 通过控制 IV/nonce,使目标 page cache 字节被 XOR 成攻击者期望的值,从而实现对只读文件 page cache 的按字节修改。该修改发生在内存 page cache 中,不直接写回磁盘。


    注意
    这是一个本地提权漏洞,攻击者需要能够在目标系统上执行本地代码,但一旦满足前提,风险非常高,尤其是多用户 Linux 主机、CI/CD Runner、容器宿主机、共享开发机、云主机和高权限 SUID 程序较多的环境。
    该漏洞修改的是 page cache,不是磁盘文件本体。因此常规文件完整性检查如果只关注磁盘内容,可能无法直接发现短时间内的内存页缓存污染。被污染期间,普通 read()、程序加载、执行路径可能命中被篡改的 page cache。

    受影响组件
    Linux kernel net/core/skbuff.c
    skb_try_coalesce()
    SKBFL_SHARED_FRAG
    XFRM ESP input
    ESP-in-TCP ULP
    TCP receive queue
    page cache / skb paged frag


    处置建议:
    在不影响业务的前提下,禁用或限制非特权 user namespace / network namespace 创建能力,降低普通用户获得 netns 内 CAP_NET_ADMIN 并配置 XFRM SA 的可能性。
    如业务不依赖 IPsec ESP,可临时禁用或阻止加载 esp4、esp6。
    避免给容器授予 CAP_NET_ADMIN、CAP_SYS_ADMIN、特权容器、host network 等高风险配置。

    参考来源: Github

  16. Linux 内核本地提权漏洞 Fragnesia 预警

    网络安全团队 V12 近期披露了一个名为 Fragnesia 的 Linux 内核通用本地提权漏洞。该漏洞属于“Dirty Frag”类漏洞的新变体,主要利用 Linux XFRM 子系统中 ESP-in-TCP 模式的逻辑缺陷。攻击者通过构造特定 nonce 的 AES-GCM 密钥流,可实现对只读文件页面缓存的任意字节篡改。
    实验证明,攻击者无需竞争条件即可将恶意代码注入 /usr/bin/su 等高权限程序的内存页,从而获取 root 权限。受影响范围涵盖 2026 年 5 月 13 日补丁发布前的多个内核版本。建议管理员及时更新内核或通过禁用 esp4/esp6 模块进行缓解,并在清理受影响机器时强制刷新页面缓存。

    来源:V12Sec / POC

  17. 中美在韩国举行经贸磋商

    当地时间5月13日,中美经贸中方牵头人、国务院副总理何立峰与美方牵头人、美国财政部长贝森特在韩国举行经贸磋商。双方以两国元首重要共识为指引,秉持相互尊重、和平共处、合作共赢的原则,就解决彼此关注的经贸问题和进一步拓展务实合作进行了坦诚、深入、建设性的交流。

    来源:央视新闻

  18. 路透:英伟达黄仁勋加入特朗普中国行,引发 H200 交易希望
    一位知情人士表示,特朗普在媒体报道黄仁勋未被邀请后,于周二致电黄仁勋。
    英伟达发言人表示,"黄仁勋应特朗普总统的邀请参加峰会,以支持美国及政府的目标,"
    白宫发言人表示,黄仁勋的行程有所变动,最终得以安排他参加。
    中国一家大型云公司的人士告诉路透,黄仁勋的出席是一个信号,表明这场旷日持久的僵局可能产生积极的结果。