साम्बा एक अति प्रमुख समस्याका, CVE-2021-44142, बस नयाँ विज्ञप्ति 4.13.17, 4.14.12 मा प्याचगरिएको थियो छ, साथै 4.15.5 रूपमा। TrendMicro मा अनुसन्धानकर्ताहरूले फेला, एक CVSS 9.9 मा यो नगरिएका RCE बग मूल्यांकन गर्छ। यस बचत अनुग्रह यो फल भीएफएस साथै सर्भर अन्तर रूपमा MacOS ग्राहक समर्थन गर्न उपयोग गरिएको छ जो सक्षम मोड्युल, आवश्यक छ। यदि सक्षम, पूर्वनिर्धारित सेटिङहरू कमजोर छन्। आक्रमण तर PoC कोड संभावना चाँडै कम रूपमा, साथै अद्यावधिक अगाडि जान अझै जंगली मा देखेको छ छैन।
गुप्त तल वोर्महोल Name
cryptocurrencies एक उल्लेखनीय बिक्री बिन्दु साथै Web3 कि गर्न सक्छन् स्थानांतरण धन वरिपरि अत्यन्तै द्रुत blockchain सिधै चलिरहेको बुद्धिमानी अनुबंध, बिट कम्प्युटरमा कार्यक्रम, हस्तक्षेप बिना छन्। को glaring drawback हस्तक्षेप बिना, यी कि गर्न सक्छन् स्थानांतरण पैसा वरिपरि अत्यन्तै छिटो कम्प्युटर कार्यक्रम हो कि यो तेजी अप स्पष्ट रहेको अन्त्य गर्नुपर्छ। यो हप्ता त्यहाँ एक आक्रमणकारीले भएको वोर्महोल Name पुल मार्फत Ethereum को $ 326 मिलियन लायक चोरेछ गर्दा, काम मा बुद्धिमानी अनुबंध को थप एक उदाहरण थियो। एक cryptocurrency पुल दुई फरक blockchains मा लिङ्क बुद्धिमानी अनुबंध रूपमा अवस्थित एक सेवा हो। यी अनुबंध साथै यसलाई अन्य, कुशलतापूर्वक स्थानान्तरणका मुद्रा मा फरक blockchain लाग्न, तपाईंले एक छेउमा एउटा मुद्रा राख्न दिनुहोस्। हामीलाई के गलत भयो को अर्थमा बनाउन मदत छ [केल्भिन Fichter], त्यसै गरी राम्ररी [smartcontracts] रूपमा बुझे।
पुल स्थानान्तरण बनाउँछ गर्दा टोकन साथै स्थानान्तरण सन्देश उत्पादन, एक blockchain मा बुद्धिमानी सम्झौता मा सञ्चय छन्। यो सन्देश एक डिजिटल निरीक्षण खाता चेक, तपाईं नगद पुल को अन्य पक्ष लिन जो जस्तै छ। पुल पुष्टि मा “चेक” हस्ताक्षर, साथै जो यदि म्याचको अन्य अन्त, तपाईंको धन देखाउनका। मुद्दा पुल को एक व्यक्ति एक पक्ष, प्रमाणिकरण दिनचर्या, एउटा काल्पनिक तालिका द्वारा प्रतिस्थापन अन्त प्रयोगकर्ता, साथै कोड यो बुझिएन द्वारा सक्छ भन्ने छ।
यो एक हट घोटाला निरीक्षण छ। को आक्रमणकारीले एक spoofed स्थानान्तरण सन्देश उत्पादित, एक bogus प्रमाणिकरण दिनचर्या, साथै पुल साँचो रूपमा स्वीकार प्रस्ताव राखे। पैसा को बहुमत जहाँ अन्य प्रयोगकर्ताको मान्य टोकन को आक्रमणकारीले टाढा ती Eth टोकन को 90,000 संग हिंडे रूपमा आयोजित भइरहेको थियो, साथै पुल, भर फिर्ता हस्तान्तरण गरिएको थियो।
गरिएन त्यो 9.8 CVE
सुरक्षा र सुरक्षा रिपोर्ट सामना चुनौतीपूर्ण हुन सक्छ। उदाहरणका लागि, अंग्रेजी छैन सबैको पहिलो भाषा, एक इमेल हिज्जे साथै व्याकरण गल्ती संग उपलब्ध छ त जब छ, यो तर केही अवस्थामा ती इमेल साँच्चै गम्भीर समस्या तपाईं जानकारी छन्, यो अस्वीकार गर्न सरल हुनेछ। साथै त्यसपछि रूपमा केही अवस्थामा तपाईं कुनै, धेरै पहिलो पटक Chrome का DevTools फेला छ देखि साथै क्षेत्रीय परिमार्जनहरू अरू सबैलाई गर्न सेवा छैन भनेर पहिचान गर्दैन एक रिपोर्ट प्राप्त।
CVE-2022-0329 ती मध्ये एक थियो। चासो मा बन्डल को अजिङ्गर लाइब्रेरी, “अजिङ्गर लग गरे (stupidly) सरल” दावा जो loguru छ। एक लग पुस्तकालयमा एक प्रमुख CVE? वेब छोटकरीमा सामूहिक थप एक log4j शैली समस्याको लागि braced। त्यसपछि धेरै मान्छे समस्याका रिपोर्ट मा एक नजर साथै, बग प्रतिवेदन रूपमा लिइरहेको साथै मुद्दा को मान्यता मा प्रश्न कास्टिङ सुरु भयो। धेरै त, CVE खारेज गरिएको छ कि। ठ्याक्कै कसरी गैर-बग GitHub पनि यसको बारेमा स्वचालित सूचित बाहिर पठाउने थियो, यस्तो उच्च सुरक्षा र सुरक्षा समस्या रूपमा मूल्याङ्कन प्राप्त गर्नुभयो?
यो सैद्धान्तिक समस्याका एक deserialization समस्या, को अचार लाइब्रेरी, loguru एक निर्भरता रूपमा समावेश, सुरक्षित अविश्वसनीय डाटा deserialize गर्छ जहाँ थियो। त्यो तथापि रिपोर्ट loguru एक खतरनाक तरिकामा deserialized गर्न अविश्वसनीय डाटा सक्षम हुनेछ ठ्याक्कै कसरी देखाउन असफल भयो, मान्य समस्या छ।
यहाँ प्ले मा एक विचार, को “airtight hatchway” छ। codebase वा प्रणाली कुनै पनि प्रकारको, manipulating कार्यक्रम डाटा कोड कार्यान्वयन परिणाम हुन सक्छ जहाँ एक बिन्दु हुनेछ। आक्रमण आवश्यकता पहिले नै भइरहेको भन्ने कार्यक्रम भन्दा व्यवस्थापन कार्य गर्दा यो airtight hatchway पछि छ। यस मामला मा, तपाईं अचार deserialize भन्ने वस्तु विकास गर्न सक्छौं भने, तपाईं पहिले नै मनपरी कोड कार्यान्वयन छ। त्यो गरेको कोड उछाल, एक समस्याका मर्मत गर्न तथापि कि, यो यस्तो उदाहरणका मर्मत गर्न उपयुक्त कहिल्यै छ राज्य गर्न छैन।
जहाँ यो रेल बन्द भयो भनेर हो। [Delgan], loguru पछि डिजाइनर उहाँले विचार वरिपरि सख्त केही कोड गर्न कामना तर, यो साँचो समस्याका थिएन उक्साए थियो, त्यसैले स्वीकार रूपमा मूल समस्याका रिपोर्ट चिन्ह लगाइयो। गति मा यो स्वचालित मशीनरी सेट, साथै एक CVE जारी थियो। त्यो CVE मुद्दा को एक अनुभवहीन comprehending, शायद त्यसै गरी एउटा स्वचालित कार्य आधारित अविश्वसनीय गम्भीर रूपमा सेट थियो। यो स्वचालित उन्माद कुनै राम्रो कट रूपमा बाहिरको-को-नियन्त्रण automato शक्ति रूपमा अन्ततः कदम अघि, एक Github सल्लाहकार सबै विधि जारीn
विन्डोज EOP POC
जनवरीमा, माईक्रोसफ्ट प्याच CVE-2022222222222222282, विजयीको विजेता को आवागृहमा एक prodeencep222 त्यो छलले यसलाई ठक्कर दिदैन, यो पनि विन्डोजको 64 64-बिट संस्करणहरूमा पनि उपस्थित छ। यदि तपाईं आफ्ना अपडेटहरूमा पछाडि हुनुहुन्छ भने, तपाईं व्यस्त हुन चाहानुहुन्छ, प्रमाणको अवधारणाले अब यस बगको लागि गिराएको छ। यो प्याच बाइपासको रूपमा रिपोर्ट गरिएको छ, यसलाई अनिवार्य रूपमा यसलाई ‘2021-117322 को रूपमा ठ्याक्कै समान अन्तर्निहित मुद्दा बनाउँदैछ।
QNAP आवश्यक एक अपडेटलाई धकेले
र व्यक्ति टिक गरियो
QNNAP साथै अन्य नास उत्पादकहरूले उनीहरूको सुरक्षा र सुरक्षा खेल साउनको लागि आवश्यक पर्ने छ, किनकि यी शैली ग्याजेटहरू फिरौतीवेयर चोरहरूको लागि अझै अपींग लक्ष्यको लागि समाप्त भएको छ। त्यसोभए जब QNAP ले एउटा दोष फेला पारे जुन “डेडबोल्ट” मालवेयर अभियानमा शोषण भइरहेको छ, तिनीहरूले अशक्त-अपडेट सक्षम पारिएको प्रत्येक व्यक्तिलाई अपडेट गर्न आग्रह गरे। यसले संकेत गर्दछ जहाँ अपडेटहरू सामान्यतया स्थापना गर्दछ, साथै रिबुट गर्नको लागि अनुरोध सहमति जनाउँदछ, यसले सहजै रिबुट गर्यो, सायद सबैभन्दा खराब अवस्थामा डाटा घाटा ट्रिगर गर्ने।
QNAP ले यी विचारहरूलाई विषयवस्तुमा रेडडेट थ्रेडमा प्रदान गरेको छ, साथै यसको बारेमा केहि विवाद हो। कम्तिमा एक व्यक्ति बरु आश्चर्यजनक छ कि यो प्रकार्य असक्षम पारिएको थियो, साथै अपडेट अझै अद्यावधिक-स्थापना गरिएको छ। के भइरहेको छ?
त्यहाँ आधिकारिक उत्तर छ। पहिलेको अपडेटमा, नयाँ प्रकार्य थपिएको थियो, सुझाव गरिएको संस्करण। यसले एक स्वचालित अपडेटको रूपमा सेवा गर्दछ, यद्यपि केवल एक प्रमुख मुद्दा छ। यो सेटिंग्स हो जसले आवश्यक ध्यानहरू सक्षम गर्दछ, साथै यसलाई पूर्वनिर्धारित गर्न। (निष्पक्षतामा, यो प्याच नोटहरूमा थियो।) त्यस्ता उपकरणहरूमा अपडेटहरू ह्यान्डल गर्ने साथ साथै फिरौतीको तवेयरको जोखिम हो।
त्यसोभए तपाई के सोच्नुहुन्छ, QNAP मात्र ग्राहकहरूको ख्याल राख्दै हुनुहुन्छ? वा के यो ईनशर डेन्टरको क्षतिको सूचनाको सूचनाको नोटमा थियो, एक लक गरिएको फाइलिंग क्यापबोर्डको तल तहखानेमा पग्लिएका पग्लिएका हाइराइजले करीव ‘चितुवाबाट सावधान रह्यो।’ आउनुहोस् हामी टिप्पणीहरूमा बुझौं, वा यदि खोजी तपाईंको चीज हो भने, स्तम्भमार्फत बनाइएको नयाँ च्यानल!