比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

成都鏈安:Apache Tomcat 遠程代碼執行漏洞預警(CVE-2020-9484)_TOMCAT

Author:

Time:1900/1/1 0:00:00

鏈聞消息,成都鏈安威脅情報系統預警,ApacheTomcat遠程代碼執行存在漏洞,部分交易所仍然在使用此web服務器,黑客可利用此漏洞進行犯罪入侵,我們建議使用相關軟件的交易所及時自查并進行修復。漏洞威脅:高。受影響版本:ApacheTomcat10.0.0-M1至10.0.0-M1、ApacheTomcat9.0.0.M1至9.0.34、ApacheTomcat8.5.0至8.5.54、ApacheTomcat7.0.0至7.0.103。漏洞描述:1)?攻擊者可以通過此漏洞控制服務器以及計算機上的文件;2)?服務器將會被配置FileStore和PersistenceManager;3)?PersistenceManager配置有sessionAttributeValueClassNameFilter=「null」或不嚴謹的過濾器,允許攻擊者執行反序列化操作;4)?攻擊者知道從FileStore使用的存儲位置到攻擊者可以控制的文件的相對文件路徑;然后,使用特殊請求,攻擊者將能夠在其控制下通過反序列化文件來觸發遠程代碼執行。成都鏈安安全團隊建議根據官方提供的修復方案進行修復,修復方案如下:ApacheTomcat10.0.0-M1至10.0.0-M1版本建議升級到ApacheTomcat10.0.0-M5或更高版本;ApacheTomcat9.0.0.M1至9.0.34版本建議升級到ApacheTomcat9.0.35或更高版本;ApacheTomcat8.5.0至8.5.54版本建議升級到ApacheTomcat8.5.55或更高版本;ApacheTomcat7.0.0至7.0.103版本建議升級到ApacheTomcat7.0.104或更高版本。用戶也可以通過sessionAttributeValueClassNameFilter適當的值配置PersistenceManager,以確保僅對應用程序提供的屬性進行序列化和反序列化。

成都鏈安:ApolloX 項目方因簽名系統缺陷被攻擊,損失約160萬美元:金色財經消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,ApolloX 項目遭受攻擊,根據成都鏈安技術團隊分析,發現ApolloX簽名系統存在缺陷,攻擊者利用簽名系統缺陷生成了255個簽名,總共從合約中提取了53,946,802$APX,價值約160萬美元,目前被盜金額通過跨鏈已打入以太坊0x9e532b19abd155ae5ced76ca2a206a732c68f261地址。此前,ApolloX代幣APX在今日19:00左右從0.054美元快速跌至0.019美元,閃跌約60%。[2022/6/9 4:11:35]

成都鏈安:GYM Network 項目的GymSinglePool遭受攻擊:6月8日消息,據成都鏈安安全輿情監控數據顯示,GYM Network 項目的GymSinglePool遭受了攻擊。因為_autoDeposit函數未轉入抵押的代幣,攻擊者惡意調用了depositFromOtherContract函數記賬,并憑空提取了GYM token,目前2000BNB已進了Tornado Cash,3000BNB存放在攻擊賬戶中,價值70W美元的ETH轉入了以太坊。[2022/6/8 4:10:43]

分析 | 成都鏈安:錢包Safuwallet服務器是否存儲了用戶的私鑰是關鍵:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事,成都鏈安在接受金色財經采訪時指出:“safuwallet是第三方extension插件錢包,用戶資產被盜,主要原因還是私鑰被盜,發生了這樣的問題,對于錢包服務器而言只要不存儲用戶的私鑰,只做相關交易數據的處理的話,兩者之間就沒有關系,如果服務器存儲了用戶的私鑰,那黑客就有可能通過攻擊服務器獲取到用戶的私鑰。推特消息稱是safuwallet被注入了惡意代碼,黑客可能先將惡意代碼注入到safuwallet中,然后引誘受害者安裝錢包,再獲取到受害者的私鑰后,進行相關代幣的轉移。事實上,對于非官方錢包,安全性確實不太好保障。對于此類錢包,私鑰被盜的時間時有發生。對于這個事件,后續的影響主要是用戶的損失、錢包和交易所的聲譽。”[2019/10/12]

Tags:MCATOMCMCATOMCATTomcat InuCOMCmcap幣圈TOMCAT價格

火幣交易所
關于幣贏CoinW6月2日停機維護完成的公告_COIN

親愛的幣贏CoinW用戶:幣贏CoinW由6月2日23:40開啟的臨時維護已經完成。現在您可以正常使用幣幣交易、合約交易功能。OTC交易功能將于6月3日00:40開啟.

1900/1/1 0:00:00
CEO全球站關于數字鏈(NUBC)上線公告_CEO

尊敬的用戶:CEO全球站即將開放NUBC充值、提現業務,并在幣幣交易創新區開啟NUBC/USDT交易對.

1900/1/1 0:00:00
關于ZT 激情夏日MGS用戶注冊瓜分8000枚GKC的公告_CAKE

關于ZT激情夏日MGS用戶注冊瓜分8000枚GKC的公告 尊敬的ZT用戶: ZT開啟“激情夏日”主題活動,MGS用戶注冊ZT即可瓜分8000枚GKC,先到先得,送完即止.

1900/1/1 0:00:00
曾獲Vitalik捐助的非盈利數字圖書館Internet Archive遭違反版權法起訴_SHIB

非盈利數字圖書館InternetArchive因OpenLibrary計劃正面臨紐約南區幾家主流出版社的法律訴訟,起訴理由是該項目違反了版權法.

1900/1/1 0:00:00
Binance JEX上線日BTC期權0604公告_USD

日比特幣BTC看漲期權?代碼日BTC看漲0604期權標的BTC合約類型歐式看漲期權計價單位USDT最小價格單位0.0001USDT合約比例200:1.

1900/1/1 0:00:00
WBF社區合伙人3.0第43期_FANS

尊敬的用戶:WBF即將開啟社區合伙人3.0第43期招募,第四十三期社區合伙人將于6月1日12:00正式開啟.

1900/1/1 0:00:00
ads