简讯: HiCA 发布公告宣布停止所有服务，告知用户切换其他服务商，同时警告 DDos 攻击者立即停止攻击，否则将会在周一向法院发起诉讼公告原文:出于安全事故考虑，HiCA选择在2023年6月6日停止所有服务

1. 01:24 · Jun 13, 2023 · Tue

   LoopDNS资讯播报

   [漏洞/一般] ACME 客户端证书获取过程中存在可执行任意代码/命令注入漏洞，且中国证书颁发机构 HiCA 在运行过程中滥用了这个漏洞 原理：acme.sh 处理 ACME 数据时，如果服务器返回的响应不是预期的 JSON 格式，而是其他任意内容，那么 acme.sh 会将这些内容原样输出。在这种情况下，HiCA 利用这个特性，通过 Unicode 生成一个二维码，然后注入到 ACME 数据中。然后输出了一个二维码 据 Matt Holt 表示这是他知道的首次对 ACME 生态系统的公然滥用，同时担…

   

   ×

   

   简讯: HiCA 发布公告宣布停止所有服务，告知用户切换其他服务商，同时警告 DDos 攻击者立即停止攻击，否则将会在周一向法院发起诉讼
   
   公告原文:
   出于安全事故考虑，HiCA选择在2023年6月6日停止所有服务。所有已签发证书请立即切换到其他CA的产品。由此带来不便我们给所有用户表示深深的抱歉。江湖路远，也许我们会再次见面的。另外有句话给 gzchenjz，请停止 DDoS 行为，所有证据已经固定，如果不停止我们将在周一起诉至法院。
   
   Due to security incidents, HiCA stopped all business since June 6th, 2023. All issued certificates shall consider switch to other CAs service. Deeply sorry to all subscribers. And one word to gzchenjz, please stop from all DDoS behaviors. All evidence gets solid and we shall take lawsuit if you don't stop it.