vulnerability
5,562 次浏览
20 人讨论中
热门
最新内容
查看原文
Progress Software 已发布紧急补丁,以修复其 #LoadMaster 和 LoadMaster 多租户 (MT) 虚拟机管理程序产品中的关键 #vulnerability (CVE-2024-7591)。此漏洞的最高严重性评分为 10/10,由于输入验证不当,远程攻击者可利用精心设计的 #HTTP 请求执行任意命令。此漏洞影响 LoadMaster 版本 7.2.60.0 及更早版本以及 MT Hypervisor 版本 7.1.35.11 及更早版本,包括长期支持 (LTS) 分支。已通过附加包发布了修复程序,但未涵盖 LoadMaster 的免费版本。虽然尚未收到任何漏洞利用报告,但还是敦促用户应用此补丁并遵循安全强化措施来保护其系统。
查看原文
您的 Web3 合约安全吗? 🔐
#Thirdweb ,一家智能合约开发公司,报告了广泛使用的开源库中的一个严重安全漏洞,影响了各种 Web3 智能合约,敦促立即采取行动。
影响 DropERC20 和 ERC721 等合约的 #vulnerability 仍未被利用,为预防提供了一个短暂的窗口。
Thirdweb 建议合约用户采取缓解措施或使用 #revoke.cash 进行保护。
该公司加强了安全措施,将漏洞赏金支出增加了一倍,并承诺为合同缓解提供资助,并在 A 轮融资中筹集了 2400 万美元。
超过 70,000 名开发人员在使用其服务,Thirdweb 的主动警告凸显了 Web3 中安全智能合约开发的迫切需求。
#Binance
#crypto2023
#Thirdweb ,一家智能合约开发公司,报告了广泛使用的开源库中的一个严重安全漏洞,影响了各种 Web3 智能合约,敦促立即采取行动。
影响 DropERC20 和 ERC721 等合约的 #vulnerability 仍未被利用,为预防提供了一个短暂的窗口。
Thirdweb 建议合约用户采取缓解措施或使用 #revoke.cash 进行保护。
该公司加强了安全措施,将漏洞赏金支出增加了一倍,并承诺为合同缓解提供资助,并在 A 轮融资中筹集了 2400 万美元。
超过 70,000 名开发人员在使用其服务,Thirdweb 的主动警告凸显了 Web3 中安全智能合约开发的迫切需求。
#Binance
#crypto2023
查看原文
Binance News
5月24日
Cetus Hack 利用溢出漏洞,造成 2.3 亿美元损失
据 Odaily 报道,SlowMist 的详细分析揭示了近期 Cetus 2.3 亿美元失窃事件背后的机制。此次攻击的核心在于利用 get_delta_a 函数中的溢出漏洞,具体来说就是绕过 checked_shlw 溢出检测。这使得攻击者能够操纵参数,导致系统错误计算所需的 haSUI 代币数量。最终,攻击者能够用少量代币兑换大量的流动性资产。
查看原文
@7h3h4ckv157
CVE-2024-49112
严重的远程代码执行漏洞 #vulnerability 影响Windows LDAP客户端,CVSS评分为9.8。此漏洞可能允许一个没有特权的攻击者通过向服务器发送一组特殊的LDAP调用,在Active Directory服务器上运行任意代码。
微软建议所有Active Directory服务器配置为不接受来自不可信网络的远程过程调用(RPC),并修补此漏洞。
CVE-2024-49112
严重的远程代码执行漏洞 #vulnerability 影响Windows LDAP客户端,CVSS评分为9.8。此漏洞可能允许一个没有特权的攻击者通过向服务器发送一组特殊的LDAP调用,在Active Directory服务器上运行任意代码。
微软建议所有Active Directory服务器配置为不接受来自不可信网络的远程过程调用(RPC),并修补此漏洞。
查看原文
#vulnerability
Juniper警告关于针对会话智能路由器的Mirai僵尸网络攻击
#JuniperNetworks 已发布关于针对使用默认凭据的会话智能路由器的基于Mirai的#botnet 的安全警报。该恶意软件扫描易受攻击的设备,执行远程命令,并启用#DDoS 攻击。
关键的妥协指标包括暴力破解登录尝试、出站流量激增、设备行为不稳定以及对常见端口的扫描。Juniper敦促用户更换默认密码、更新固件、监控日志并部署防火墙。感染的设备必须重新映像,以确保完全消除威胁。
建议管理员采取强大的安全措施以防止进一步的攻击。
Juniper警告关于针对会话智能路由器的Mirai僵尸网络攻击
#JuniperNetworks 已发布关于针对使用默认凭据的会话智能路由器的基于Mirai的#botnet 的安全警报。该恶意软件扫描易受攻击的设备,执行远程命令,并启用#DDoS 攻击。
关键的妥协指标包括暴力破解登录尝试、出站流量激增、设备行为不稳定以及对常见端口的扫描。Juniper敦促用户更换默认密码、更新固件、监控日志并部署防火墙。感染的设备必须重新映像,以确保完全消除威胁。
建议管理员采取强大的安全措施以防止进一步的攻击。
查看原文
#Nvidia Container Toolkit 中的关键 #vulnerability (追踪为 CVE-2024-0132 )对使用该工具包进行 #GPU 存取的 #AI爆发 个应用程式构成重大风险。此缺陷允许攻击者执行容器逃逸攻击,获得对主机系统的完全控制,这可能导致命令执行和资料外泄。此问题影响 NVIDIA Container Toolkit 版本 1.16.1 及更早版本以及 GPU Operator 24.6.1 及更早版本。
此漏洞源自于容器化 GPU 和主机之间的隔离不充分,从而使容器能够存取主机档案系统和可写入 Unix 套接字的敏感部分。这种安全风险在超过 35% 的云端环境中普遍存在,特别是因为许多 AI 平台都预先安装了受影响的库。
Wiz Research 于 9 月 1 日向 NVIDIA 报告了该问题,NVIDIA 不久后也承认了这一问题,并于 9 月 26 日发布了修复程序。建议用户升级到NVIDIA Container Toolkit版本1.16.2和GPU Operator版本24.6.2。利用此漏洞的技术细节将在稍后发布,以便组织有时间缓解该问题(作者:Bill Toulas)
此漏洞源自于容器化 GPU 和主机之间的隔离不充分,从而使容器能够存取主机档案系统和可写入 Unix 套接字的敏感部分。这种安全风险在超过 35% 的云端环境中普遍存在,特别是因为许多 AI 平台都预先安装了受影响的库。
Wiz Research 于 9 月 1 日向 NVIDIA 报告了该问题,NVIDIA 不久后也承认了这一问题,并于 9 月 26 日发布了修复程序。建议用户升级到NVIDIA Container Toolkit版本1.16.2和GPU Operator版本24.6.2。利用此漏洞的技术细节将在稍后发布,以便组织有时间缓解该问题(作者:Bill Toulas)
查看原文
#CyversAlerts
我们的系统在几小时前检测到多个涉及未验证借贷合同的可疑交易,涉及 #Base。
攻击者最初进行了可疑交易,从这些未验证的合同中获得了约 $993K。大部分代币被交换并桥接到 #Ethereum 链上,约 $202K 被存入 #TornadoCash 。
攻击者通过利用同样的 #vulnerability 获得了额外的 $455K。根本原因似乎是通过过度借贷对 WETH 进行价格操纵。
我们的系统在几小时前检测到多个涉及未验证借贷合同的可疑交易,涉及 #Base。
攻击者最初进行了可疑交易,从这些未验证的合同中获得了约 $993K。大部分代币被交换并桥接到 #Ethereum 链上,约 $202K 被存入 #TornadoCash 。
攻击者通过利用同样的 #vulnerability 获得了额外的 $455K。根本原因似乎是通过过度借贷对 WETH 进行价格操纵。
查看原文
#AnciliaInc
似乎 #BSC 上的 #RDNTCapital 合约出现了问题。
我们注意到用户账户通过合约 0xd50cf00b6e600dd036ba8ef475677d816d6c4281 进行了多次转账。
请尽快撤销您的批准。似乎新实施有 #vulnerability 个功能。
似乎在此 tx 0xd97b93f633aee356d992b49193e60a571b8c466bf46aaf072368f975dc11841c 上部署了一个后门合约,似乎已转出 1600 万美元以上。
交易哈希
#HackerAlert
$BNB
似乎 #BSC 上的 #RDNTCapital 合约出现了问题。
我们注意到用户账户通过合约 0xd50cf00b6e600dd036ba8ef475677d816d6c4281 进行了多次转账。
请尽快撤销您的批准。似乎新实施有 #vulnerability 个功能。
似乎在此 tx 0xd97b93f633aee356d992b49193e60a571b8c466bf46aaf072368f975dc11841c 上部署了一个后门合约,似乎已转出 1600 万美元以上。
交易哈希
#HackerAlert
$BNB
查看原文
WazirX 骇客攻击:深入探讨价值 2.3 亿美元的加密货币窃盗案及其影响
介绍:
在快速发展的加密货币世界中,安全漏洞仍然是迫在眉睫的威胁。 2024 年的 #wazirX 骇客攻击是加密货币行业最大的骇客攻击之一,由于对交易所多重签名钱包系统的高度复杂的利用,超过 2.3 亿美元的数位资产被盗。这次攻击暴露了 WazirX 安全基础设施中的漏洞,导致用户陷入财务困境,重新引发了有关去中心化金融平台安全性的讨论。本文详细介绍了这次骇客攻击的细节、后果以及为保护加密货币交易所的未来所学到的经验教训。
在快速发展的加密货币世界中,安全漏洞仍然是迫在眉睫的威胁。 2024 年的 #wazirX 骇客攻击是加密货币行业最大的骇客攻击之一,由于对交易所多重签名钱包系统的高度复杂的利用,超过 2.3 亿美元的数位资产被盗。这次攻击暴露了 WazirX 安全基础设施中的漏洞,导致用户陷入财务困境,重新引发了有关去中心化金融平台安全性的讨论。本文详细介绍了这次骇客攻击的细节、后果以及为保护加密货币交易所的未来所学到的经验教训。
查看原文
#LNbank 的开发人员宣布了软件中另一个关键的 #vulnerability ,敦促用户立即升级到 LNbank v1.9.2。此版本解决了特定漏洞,并禁用了发送功能以防止进一步出现问题。
然而,尽管修复了漏洞,但开发人员还是决定停止开发 LNbank,因为无法确保其安全性。这一决定是在考虑了最近的漏洞报告和使用该插件所涉及的潜在风险后做出的。LNbank v1.9.2 将是最终版本,强烈建议用户逐步停止使用它,特别是如果它是公开可访问的。
开发人员承认使用 LNbank 的用户数量出乎意料,并强调不要用此类插件或节点冒大量资金的风险。最终版本 v1.9.2 禁用了发送功能以增加安全性,这意味着用户需要通过 Lightning 节点 CLI 或第三方工具来管理他们的资金。
对于那些在升级到 LNbank v1.9.2 时遇到困难的用户,开发人员建议卸载然后重新安装插件。卸载期间将保留存储在数据库中的数据,只会从文件系统中删除插件代码。
任何需要进一步帮助升级或与 LNbank 相关的其他事项的用户都鼓励通过其 #Mattermost 平台联系开发人员 (d11n)。
然而,尽管修复了漏洞,但开发人员还是决定停止开发 LNbank,因为无法确保其安全性。这一决定是在考虑了最近的漏洞报告和使用该插件所涉及的潜在风险后做出的。LNbank v1.9.2 将是最终版本,强烈建议用户逐步停止使用它,特别是如果它是公开可访问的。
开发人员承认使用 LNbank 的用户数量出乎意料,并强调不要用此类插件或节点冒大量资金的风险。最终版本 v1.9.2 禁用了发送功能以增加安全性,这意味着用户需要通过 Lightning 节点 CLI 或第三方工具来管理他们的资金。
对于那些在升级到 LNbank v1.9.2 时遇到困难的用户,开发人员建议卸载然后重新安装插件。卸载期间将保留存储在数据库中的数据,只会从文件系统中删除插件代码。
任何需要进一步帮助升级或与 LNbank 相关的其他事项的用户都鼓励通过其 #Mattermost 平台联系开发人员 (d11n)。
查看原文
Curve Finance 已向安全研究人员 Marco Croc 奖励 25 万美元,以奖励其系统内存在一个严重漏洞,该漏洞可能会给平台及其用户带来重大财务损失。
https://btc-pulse.com/curve-finance-rewards-security-researcher-250000/
@Curve Finance #vulnerability #hack
https://btc-pulse.com/curve-finance-rewards-security-researcher-250000/
@Curve Finance #vulnerability #hack
查看原文
通过 X 上的 #AnciliaAlerts,@rugged_dot_art 在地址为 0x9733303117504c146a4e22261f2685ddb79780ef 的智能合约中发现了一个可重入的 #vulnerability ,允许攻击者 #exploit 它并获得 11 #ETH 。可以在 https://etherscan.io/tx/0x5a63da39b5b83fccdd825fed0226f330f802e995b8e49e19fbdd246876c67e1f 上跟踪 #Etherscan 的攻击交易。尽管三天前联系了所有者,但一直没有回复。
该漏洞位于targetedPurchase()函数中,用户可以在其中输入任意swapParams,包括命令4。这会触发UNIVERSAL_ROUTER.execute()函数,根据Uniswap技术参考,命令4对应于SWEEP,调用sweep()函数。此函数将ETH发送回用户的合约,从而导致重新进入问题。
在targetedPurchase()中,在调用_executeSwap()之前和之后执行余额检查。由于重新进入问题,用户可以质押代币(例如,来自闪电贷)以满足余额检查,从而确保成功完成购买操作,将代币转移给用户。等待所有者回复的持续时间凸显了情况的紧迫性,强调需要及时关注以减轻潜在的漏洞利用。
该漏洞位于targetedPurchase()函数中,用户可以在其中输入任意swapParams,包括命令4。这会触发UNIVERSAL_ROUTER.execute()函数,根据Uniswap技术参考,命令4对应于SWEEP,调用sweep()函数。此函数将ETH发送回用户的合约,从而导致重新进入问题。
在targetedPurchase()中,在调用_executeSwap()之前和之后执行余额检查。由于重新进入问题,用户可以质押代币(例如,来自闪电贷)以满足余额检查,从而确保成功完成购买操作,将代币转移给用户。等待所有者回复的持续时间凸显了情况的紧迫性,强调需要及时关注以减轻潜在的漏洞利用。
查看原文
🔻🔻$BTC ________🔥 BTC 更新⏫️⏫️⏫️
研究发现 Apple M 系列芯片中存在允许黑客检索私钥的漏洞
比特币 - 卖出
原因:苹果 M 系列芯片的漏洞可能会导致人们对数字安全的信心下降,从而可能对比特币的市场情绪产生负面影响。
信号强度:高
信号时间:2024-03-23 05:08:59 GMT
#hackers
#Apple #vulnerability #BTCUSDT #SignalAlert
始终是迪尔。这不是财务建议,而是我们对事件中最有可能的资产变动的看法。你的是啥呢?
研究发现 Apple M 系列芯片中存在允许黑客检索私钥的漏洞
比特币 - 卖出
原因:苹果 M 系列芯片的漏洞可能会导致人们对数字安全的信心下降,从而可能对比特币的市场情绪产生负面影响。
信号强度:高
信号时间:2024-03-23 05:08:59 GMT
#hackers
#Apple #vulnerability #BTCUSDT #SignalAlert
始终是迪尔。这不是财务建议,而是我们对事件中最有可能的资产变动的看法。你的是啥呢?
查看原文
针对 Apple Silicon CPU 的新 #GoFetch 攻击可以窃取 #crypto 个金钥。
一种名为「GoFetch」的新侧通道攻击被发现,影响 Apple M1、M2 和 M3 处理器。此攻击针对使用现代 Apple CPU 中的资料记忆体相关预取器 (DMP) 的恒定时间加密实现,允许攻击者从 CPU 快取中窃取秘密加密金钥。 GoFetch 由一组研究人员开发,他们于 2023 年 12 月向 Apple 报告了他们的发现。由于这是一个基于硬体的漏洞,因此受影响的 CPU 无法修复。虽然软体修复可以缓解该缺陷,但它们会降低加密效能。此攻击利用了 Apple DMP 系统实作中的缺陷,违反了恒定时间编程原则。建议受影响的 Apple 装置的拥有者养成安全的运算习惯,包括定期更新和谨慎安装软体。虽然苹果可能会透过软体更新引入缓解措施,但它们可能会影响效能。禁用 DMP 可能是某些 CPU 的选项,但不适用于 M1 和 M2。该攻击可以远端执行,这使其成为用户的严重担忧。苹果尚未就此事发表进一步评论。
#hack #exploit #vulnerability
一种名为「GoFetch」的新侧通道攻击被发现,影响 Apple M1、M2 和 M3 处理器。此攻击针对使用现代 Apple CPU 中的资料记忆体相关预取器 (DMP) 的恒定时间加密实现,允许攻击者从 CPU 快取中窃取秘密加密金钥。 GoFetch 由一组研究人员开发,他们于 2023 年 12 月向 Apple 报告了他们的发现。由于这是一个基于硬体的漏洞,因此受影响的 CPU 无法修复。虽然软体修复可以缓解该缺陷,但它们会降低加密效能。此攻击利用了 Apple DMP 系统实作中的缺陷,违反了恒定时间编程原则。建议受影响的 Apple 装置的拥有者养成安全的运算习惯,包括定期更新和谨慎安装软体。虽然苹果可能会透过软体更新引入缓解措施,但它们可能会影响效能。禁用 DMP 可能是某些 CPU 的选项,但不适用于 M1 和 M2。该攻击可以远端执行,这使其成为用户的严重担忧。苹果尚未就此事发表进一步评论。
#hack #exploit #vulnerability
查看原文
在现实世界中,像社区组织围绕跟踪和压迫以获取更脆弱人群资源的情况,在网络环境中也并无不同。我们首先要理解社交网络是人与人之间的关系,但我们需要明白,人工智能存在于这个地方是为了提供帮助。真实的人并不具备与人工智能相同的伦理道德。所有发生的事情都有一个提示:在你怀疑社区伦理价值的环境中工作,对于你和你的资产来说都是一种持续的风险。在投资之前,请考虑安全性。
$USDC
$PEPE
#security #scamriskwarning #ethics #vulnerability #CommunityDiscussion
$USDC
$PEPE
#security #scamriskwarning #ethics #vulnerability #CommunityDiscussion
登录解锁更多内容