我是提醒个税汇算小助手:您可登录个人所得税 APP 预约 3 月 1 日至 3 月 20 日任意一天办理年度汇算,在 3 月 21 日至 6 月 30 日期间办理无需预约。
https://www.gov.cn/zhengce/zhengceku/202402/content_6930130.htm
https://www.gov.cn/zhengce/zhengceku/202402/content_6930130.htm
https://www.bilibili.com/video/BV1TA4m137zw
Win10 近期的补丁更新了 explorer.exe 加入了在中国大陆地区判断奇虎 360 系列软件是否在运行的逻辑,这一行径被火绒当作是木马病毒,于是把资源管理器杀掉了、成为此事被大众所知的导火索。
火绒在2月18日发布情况说明并向用户道歉,目前似乎还没有看到微软中国的官方回应。
Win10 近期的补丁更新了 explorer.exe 加入了在中国大陆地区判断奇虎 360 系列软件是否在运行的逻辑,这一行径被火绒当作是木马病毒,于是把资源管理器杀掉了、成为此事被大众所知的导火索。
火绒在2月18日发布情况说明并向用户道歉,目前似乎还没有看到微软中国的官方回应。
其实我也好奇,为什么火绒不说原因在微软,而是默默背锅道歉 —— Tarkovv
大概率危机公关,因为第一时间肯定是觉得自己软件病毒检测出现了bug,而且是极其恶性的bug,不太可能怀疑微软那边出了问题,所以就先道歉然后给解决方法。后面到底什么问题慢慢研究 —— momoonbili
1. 微软给人的印象比较老实,所以系统文件被误杀第一时间会想想是不是自己误报
2. 火绒的体量不及微软一根毛,如果发布“是微软干的”跟约架没区别,火绒显然干不过
—— Workear
这波我哪个队都不站,360确实喜欢对资源管理器做手脚(这也能解释为什么Win11没相关的逻辑,因为资源管理器重构了,360动不了),但是微软在资源管理器做杀软判断,这也不太合理,你在Windows Defender里面搞判断,我也能理解,你在资源管理器里搞判断,我真不知道有什么合理的理由
—— “远程桌面连接服务”
一个叹号即可导致任意代码执行,Windows也曝“log4j漏洞”
据 Check Point Research官网博客 ,其最近一项研究发现了Microsoft Outlook中的一个重大安全漏洞,允许攻击者在受害者的计算机上执行任意代码。微软已确认此漏洞,并且给予了该漏洞9.8分(满分10分)的CVSS严重性评分。
据了解,Check Point的安全研究员Haifei Li发现了此漏洞(CVE-2024-21413),并将之命名为 #MonikerLink 。当用户使用易受攻击的Microsoft Outlook版本点击带有恶意链接的电子邮件时,就会导致远程代码执行(RCE),并且该漏洞还使攻击者能够绕过Office文档的受保护视图。
Check Point表示,其已确认这个#MonikerLink漏洞在最新的Windows 10/11 + Microsoft 365(Office 2021)环境中存在。并且其他Office版本/版本也可能受到影响。Check Point认为这是一个被忽视的问题,它在Windows/COM生态系统中存在了几十年——因为它存在于COM API的核心。
微软在2024年2月“星期二补丁”中已修复此漏洞,强烈建议所有Outlook用户尽快更新。
完整技术报告
投稿:@TNSubmbot
频道:@TestFlightCN
据 Check Point Research官网博客 ,其最近一项研究发现了Microsoft Outlook中的一个重大安全漏洞,允许攻击者在受害者的计算机上执行任意代码。微软已确认此漏洞,并且给予了该漏洞9.8分(满分10分)的CVSS严重性评分。
据了解,Check Point的安全研究员Haifei Li发现了此漏洞(CVE-2024-21413),并将之命名为 #MonikerLink 。当用户使用易受攻击的Microsoft Outlook版本点击带有恶意链接的电子邮件时,就会导致远程代码执行(RCE),并且该漏洞还使攻击者能够绕过Office文档的受保护视图。
Check Point表示,其已确认这个#MonikerLink漏洞在最新的Windows 10/11 + Microsoft 365(Office 2021)环境中存在。并且其他Office版本/版本也可能受到影响。Check Point认为这是一个被忽视的问题,它在Windows/COM生态系统中存在了几十年——因为它存在于COM API的核心。
微软在2024年2月“星期二补丁”中已修复此漏洞,强烈建议所有Outlook用户尽快更新。
完整技术报告
投稿:@TNSubmbot
频道:@TestFlightCN
https://openai.com/blog/disrupting-malicious-uses-of-ai-by-state-affiliated-threat-actors
重要: 宝塔 WAF 防火墙存在未授权访问漏洞,攻击者可通过漏洞访问后台API
最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的未授权访问漏洞。这个漏洞允许未经授权的用户绕过登录验证,无视宝塔的随机登录地址,直接访问宝塔后台的某些API,实现远程控制
漏洞原理:
这个漏洞存在于/cloud_waf/nginx/conf.d/waf/public/waf_route.lua文件中,通过检查源代码可以发现,只要请求满足特定的IP和域名条件,就可以无需登录直接访问后台API,通过特定的HTTP请求头配置,攻击者可以模拟来自127.0.0.1的请求,并将Host头设置为127.0.0.251,从而绕过宝塔的访问控制。这种方式允许攻击者执行包括获取已拉黑IP列表、解封IP、删除所有日志等多种操作。
注:这表明宝塔WAF的核心防护功能存在严重的安全设计缺陷。
安全建议:
1. 宝塔用户应该立即检查自己的系统,看是否存在被这个漏洞利用的迹象。
2. 关注宝塔官方的通告和更新,及时安装最新的安全补丁。
3. 考虑采取额外的安全措施,比如使用第三方的安全工具来增强WAF的防护能力。
注:用户卸载 WAF 也可避免该问题
参考消息:V2EX
最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的未授权访问漏洞。这个漏洞允许未经授权的用户绕过登录验证,无视宝塔的随机登录地址,直接访问宝塔后台的某些API,实现远程控制
漏洞原理:
这个漏洞存在于/cloud_waf/nginx/conf.d/waf/public/waf_route.lua文件中,通过检查源代码可以发现,只要请求满足特定的IP和域名条件,就可以无需登录直接访问后台API,通过特定的HTTP请求头配置,攻击者可以模拟来自127.0.0.1的请求,并将Host头设置为127.0.0.251,从而绕过宝塔的访问控制。这种方式允许攻击者执行包括获取已拉黑IP列表、解封IP、删除所有日志等多种操作。
注:这表明宝塔WAF的核心防护功能存在严重的安全设计缺陷。
安全建议:
1. 宝塔用户应该立即检查自己的系统,看是否存在被这个漏洞利用的迹象。
2. 关注宝塔官方的通告和更新,及时安装最新的安全补丁。
3. 考虑采取额外的安全措施,比如使用第三方的安全工具来增强WAF的防护能力。
注:用户卸载 WAF 也可避免该问题
参考消息:V2EX
重要: 宝塔 WAF 防火墙存在 SQL 注入漏洞,攻击者可通过漏洞执行任意指令
最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的SQL注入漏洞。在测试宝塔WAF的未授权访问漏洞时,作者无意中发现了一个可以执行任意SQL语句的SQL注入漏洞。这个漏洞存在于宝塔WAF的get_site_status API中,由于server_name参数没有进行适当的校验,直接被用于SQL查询,从而导致了SQL注入的风险。
漏洞原理:这个宝塔SQL注入漏洞的原理基于对server_name参数的不当处理。在宝塔 WAF 的get_site_status API中,server_name参数没有进行适当的校验和清洗,直接被用于构造SQL查询。这种处理方式使得攻击者可以通过构造恶意的server_name参数值来操纵SQL语句,从而实现SQL注入攻击。
通过构造特定的请求,作者成功地利用这个漏洞执行了SQL命令,包括获取数据库名称和MySQL版本信息,以及执行任意SQL查询。这表明攻击者可以利用这个漏洞对数据库进行任意操作
官方响应:目前宝塔官方尚未对这个问题进行公开回复,可能已通过暗改方式修复,但用户仍需要注意
安全建议:
1. 宝塔用户应该立即检查自己的系统,看是否存在被这个漏洞利用的迹象。
2. 关注宝塔官方的通告和更新,及时安装最新的安全补丁。
3. 考虑采取额外的安全措施,比如使用第三方的安全工具来增强WAF的防护能力。
注:用户卸载 WAF 也可避免该问题
参考信息:V2EX
最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的SQL注入漏洞。在测试宝塔WAF的未授权访问漏洞时,作者无意中发现了一个可以执行任意SQL语句的SQL注入漏洞。这个漏洞存在于宝塔WAF的get_site_status API中,由于server_name参数没有进行适当的校验,直接被用于SQL查询,从而导致了SQL注入的风险。
漏洞原理:这个宝塔SQL注入漏洞的原理基于对server_name参数的不当处理。在宝塔 WAF 的get_site_status API中,server_name参数没有进行适当的校验和清洗,直接被用于构造SQL查询。这种处理方式使得攻击者可以通过构造恶意的server_name参数值来操纵SQL语句,从而实现SQL注入攻击。
通过构造特定的请求,作者成功地利用这个漏洞执行了SQL命令,包括获取数据库名称和MySQL版本信息,以及执行任意SQL查询。这表明攻击者可以利用这个漏洞对数据库进行任意操作
官方响应:目前宝塔官方尚未对这个问题进行公开回复,可能已通过暗改方式修复,但用户仍需要注意
安全建议:
1. 宝塔用户应该立即检查自己的系统,看是否存在被这个漏洞利用的迹象。
2. 关注宝塔官方的通告和更新,及时安装最新的安全补丁。
3. 考虑采取额外的安全措施,比如使用第三方的安全工具来增强WAF的防护能力。
注:用户卸载 WAF 也可避免该问题
参考信息:V2EX
https://github.com/mastodon/mastodon/releases/tag/v4.2.6
Mastodon has severe vulnerabilities, again.
Mastodon has severe vulnerabilities, again.
GitHub
Release v4.2.6 · mastodon/mastodon
⚠️ This release is an important security release fixing several security issue.
Corresponding security releases are available for the 4.1.x branch, the 4.0.x branch and the 3.5.x branch.
If you a...
Corresponding security releases are available for the 4.1.x branch, the 4.0.x branch and the 3.5.x branch.
If you a...
目前已知汇总到频道主这里的信息,供参考:
1. 系统内提交工单被转交到中文区,电话答复称 OFFICE 365 支持团队并不负责开发者计划相关问题,仅提供了社区中的链接供参考。
2. 社区链接尚未出现带信息量答复
1. 系统内提交工单被转交到中文区,电话答复称 OFFICE 365 支持团队并不负责开发者计划相关问题,仅提供了社区中的链接供参考。
2. 社区链接尚未出现带信息量答复
