Samba a une vulnérabilité extrêmement majeure, CVE-2021-44142, qui n’a été que corrigée dans de nouvelles sorties 4.13.17, 4.14.12, ainsi que 4.15.5. Trouvé par des chercheurs à Trendmicro, ce bogue RCE non authentifié évalue dans un CVSS 9.9. La grâce d’épargne est qu’elle a besoin du module de fruit VFS à être activé, qui est utilisée pour prendre en charge le client MacOS ainsi que le serveur Interop. Si activé, les paramètres par défaut sont vulnérables. Les attaques n’ont pas encore été vues à l’état sauvage, cependant, allez-y également à mettre à jour, car le code POC diminuera probablement bientôt.
Crypto dans le trou de ver
Un point de vente remarquable aux cryptocurrences ainsi que sur le Web3 sont des contrats sages, des programmes informatiques bits qui fonctionnent directement sur le blockchain pouvant reloger des fonds extrêmement rapidement, sans intervention. Cela finit rapidement d’être évident que les inconvénients étincelants sont ceux-ci sont des programmes informatiques capables de relâcher de l’argent extrêmement rapidement, sans intervention. Cette semaine, il y avait un autre exemple de contrats sages au travail, lorsqu’un attaquant a volé 326 millions de dollars d’éthéréhère à travers le pont du verrou. Un pont de cryptocurrence est un service qui existe comme contrats sages liés sur deux cargaisons différents. Ces contrats vous permettent de mettre une monnaie d’un côté, ainsi que de la sortir de l’autre, transférant efficacement la monnaie à un blockchain différent. nous aider à nous donner un sens de ce qui a mal tourné est [Kelvin Fichter], également compris correctement comme [Smartcontracts].
Lorsque le pont effectue un transfert, les jetons sont déposés dans le contrat sage sur un blockchain, ainsi qu’un message de transfert est produit. Ce message est comme un chèque de compte d’inspection numérique, que vous prenez de l’autre côté du pont en espèces. L’autre extrémité du pont vérifie la signature sur le “chèque”, ainsi que si quelles que soient les matchs, vos fonds apparaissent. La question est qu’une personne un côté du pont, la routine de vérification pourrait être remplacée par une routine factice, par l’utilisateur final, ainsi que le code ne l’attrapa pas.
C’est une arnaque à contrôle chaud. L’attaquant a produit un message de transfert usuré, offrait une routine de vérification de faux, ainsi que le pont l’accepta comme authentique. La majorité de l’argent a été transféré à travers le pont, où des jetons valides d’autres utilisateurs étaient tenus, ainsi que l’attaquant de 90 000 de ces jetons d’aube.
La 9,8 cve qui n’était pas
Faire face aux rapports de sécurité et de sécurité peut être difficile. Par exemple, l’anglais n’est pas la toute première langue de tout le monde, alors quand un email est disponible avec l’orthographe ainsi que les erreurs de la grammaire, il serait simple de le rejeter, mais dans certains cas, ces courriels vous informent vraiment d’un problème grave. En outre, dans certains cas, vous obtenez un rapport puisque quelqu’un a trouvé que Chrome est DevTools pour la toute première fois, et ne reconnaît pas que les modifications régionales ne sont pas servies à tout le monde.
CVE-2022-0329 en était un de ceux-ci. Le forfait préoccupant est la bibliothèque Python, Loguru, qui dispose d’une “journalisation python faite (stupidement) simple”. Un CVE majeur dans une bibliothèque de journalisation? Le Web a brièvement collecté collectivement pour un problème de style de log4j. Ensuite, beaucoup plus de gens ont commencé à examiner le rapport de vulnérabilité ainsi que le rapport de bogue, ainsi que sur la question de la pose de la validité de la question. Tellement, que la CVE a été révoquée. Voici exactement comment un non-bogue a-t-il été évalué comme une telle question de sécurité et de sécurité, que Github envoyait même des notifications automatisées à ce sujet?
La vulnérabilité théorique était un problème de désérialisation, où la bibliothèque de cornichons, incluse comme une dépendance de loguru, ne désérialisait pas de manière sûre des données non approuvées. C’est un problème valide, mais le rapport n’a pas réussi à démontrer exactement comment Loguru permettrait de désigner des données non approuvées d’être désérialisées de manière dangereuse.
Il y a une idée de jeu ici, la “trappe hermétique”. Dans tout type de codeBase ou de système, il y aura un point où la manipulation des données du programme peut entraîner une exécution de code. Ceci est derrière la trappe hermétique lorsque l’assaut a besoin déjà de gérer le programme. Dans ce cas, si vous pouvez développer l’élément que le cornichon désérialisera, vous avez déjà une exécution de code arbitraire. Cela ne faut pas indiquer qu’il n’est jamais approprié de réparer une telle instance, cependant, c’est un durcissement du code, ne réparant pas une vulnérabilité.
C’est là que cela sortit des rails. [Delgan], le designer derrière Loguru a été persuadé, ce n’était pas une véritable vulnérabilité, mais il souhaitait faire du Code durcissant autour de l’idée, ce qui a donc marqué le rapport d’origine de la vulnérabilité comme accepté. Cela définit les machines automatisées en mouvement, ainsi qu’une cve a été émise. Cette cve était définie comme incroyablement grave, sur la base d’une compréhension naïve de la question, peut-être également une action automatisée. Cette frénésie automatisée a poursuivi toute la méthode à un conseil GitHub, avant que quelqu’un se soit enfin compris et coupé la puissance à l’automate hors de contrôlen.
Windows EOP POC
En janvier, Microsoft patché CVE-2022-21882, une escalade de privilège dans le code Win32 de Windows. Ne laissez pas cela vous tromper, il est présent dans des versions de 64 bits de Windows. Si vous êtes en retard sur vos mises à jour, vous voudrez peut-être vous occuper, car une épreuve de concept est maintenant supprimée pour ce bogue. Cela a été signalé comme un contournement de correctif, ce qui en fait essentiellement le même problème sous-jacent que cve-2021-1732.
QNAP requis a poussé une mise à jour
Et les individus sont cochés
QNAP ainsi que d’autres producteurs de NAS ont été tenus d’intensifier leur jeu de sécurité et de sécurité, car ces gadgets de style ont fini par être une cible plus attrayante pour les voleurs de ransomware. Ainsi, lorsque QNAP a trouvé une faille exploitée dans la campagne malveillante «Deadbolt», ils ont choisi de faire pression sur la mise à jour de la mise à jour de chaque personne qui avait une mise à jour automatique activée. Cela implique que les mises à jour installeraient généralement, ainsi que de demander le consentement au redémarrage, cela redémarré spontanément, peut-être déclencher la perte de données dans le pire des cas.
QNAP a fourni leurs pensées dans un fil de Reddit sur le sujet, ainsi que des différends sur exactement à quel point cela a fonctionné précisément. Au moins une personne est plutôt emphatique que cette fonction était désactivée, ainsi que la mise à jour toujours installée automatiquement. Que se passe-t-il?
Il y a une réponse officielle. Dans une mise à jour antérieure, une nouvelle fonction a été ajoutée, la version suggérée. Cela sert de mise à jour automatique, mais uniquement lorsqu’il y a un problème majeur. Il s’agit du paramètre qui permet des pousses requises, ainsi que de la valeur par défaut. (En toute justice, c’était dans les notes de patch.) Manipulation des mises à jour sur les appareils tels que ceux-ci est toujours difficile, ainsi que le risque de reliure de ransomware le rend même collant.
Alors, que pensez-vous que qnap prends juste soin des clients? Ou était-ce que cela s’apparente à l’avis de dommages de l’Arthur Dent’s House, publié dans le sous-sol au bas d’une armoire de dépôt verrouillé coincé dans une toilette désaffectée avec une indication sur la porte indiquant «Méfiez-vous du léopard. Comprends-nous dans les commentaires ou si la discorde est votre chose, la nouvelle chaîne consacrée à la colonne!