를 지난 주 Microsoft Exchange Server를 실행하는 불행이 있으면 Y2K22 문제에 대해 알려주지 않아도됩니다. …에 Exchange가 2022의 첫 번째 맬웨어 정의 업데이트를 다운로드하려고 시도했을 때 새로운 정의의 버전 번호가 맬웨어 탐지 엔진에서 사고를 일으켰습니다. 이 날짜는 처음 두 자리가 올해를 나타내는 문자열 2201010001로 표시됩니다. 이 문자열은 서명 된 긴 정수로 변환되며, 이는 2,147,483,647으로 최대한 밖으로 나옵니다. 정수 오버 플로우뿐만 아니라 결과는 정의되지 않은 동작이며 엔진을 충돌합니다. 서버는 맬웨어 엔진이없는 메시지 유형을 처리하지 않고이 메일을 가져 오지 않음을 의미하는 메시지의 유형을 처리하지 않고 작동을 중지합니다. 새해를 기쁘게 생각합니다!
안드로이드 911 서비스 거부
응급 서비스를위한 전화 걸기 911은 소프트웨어 애플리케이션 버그가 자체적으로 나타낼 수있는 최악의 시간입니다. Google은 1 월 Android 업데이트에서 이러한 버그를 수정했습니다. 이 상황에서는 Android 버그를 트리거하는이 상황에서는 이러한 이상한 의도하지 않은 앱 상호 작용 중 하나입니다. 팀 앱이 설치되어 있지만 로그인 한 계정이 없지만 팀은 모든 출시에 새로운 PhoneAccount 항목을 등록뿐만 아니라 생성뿐만 아니라 생성됩니다. 이것은 드문 경우처럼 보이는 것처럼 보입니다. 그러나 Android의 팀은 자발적으로 개체를 꺼내는 데 유사합니다. 911에 전화를 걸 때, Android는 해시를 비교하여 호출을 비교하여 넥타이를 해결할뿐만 아니라 호출을 해결해야 할 Phoneacount를 식별 해야하는 Phoneacount를 식별하기 위해 루틴을 실행합니다. 그 비교는 불리한 결과를 얻는 데 50 %의 가능성이 있음을 의미합니다. 이것은 예기치 않고 충돌이 발생했습니다.
차고 문 역 공학
리버스 엔지니어링은 30 세의 무선 인증 계획을 가장 이익을 끼치 지 않을 수 있습니다. 그러나 어떤 경우에는 여행이 자체 보상입니다. [Maxwell Dulin]은 우리에게 이야기를 가져다뿐만 아니라이 여행이 확실히 가치가 있습니다. 이 해킹의 기본은 하드웨어를 살펴보고 시작하여 아직도 실행 가능합니다. 차고 문은 코드를 보내는 동안 수신기에 푸시 버튼을 보유함으로써 차고 문 오프너와 동기화됩니다. 오프너 내부에는 3 개의 위치가있는 9 개의 DIP 스위치가 있습니다. 그들은 무엇을합니까? 그는 자신의 신뢰할 수있는 SDR을 꺼내 웹 트래픽을 가져오고 신호를 디코딩하려고 시도했습니다. GNU 라디오뿐만 아니라 GNU 라디오는 여기 에이 쉬운 인증 체계에 대한 통찰력을 제공했습니다. 이 실제 차고 문에 대한 마지막 생각? 가능한 모든 콤보를 보내는 것만뿐만 아니라 104 분이 소요될 수 있습니다.
Bugalert.
SYSADMIN이라면 일부 문제가 인스턴트 조치를 위해 전화를 걸 었음을 이해합니다. Java 서버를 실행 한 경우 LOG4J 취약점은 반응 프로토콜의 종료 테스트였습니다. 공개 공개 시간뿐만 아니라 그것에 대해 들었을 때마다 재난을 벗어날 수 있기에 충분할 수있었습니다. 프레임 워크뿐만 아니라 몇 가지 버그보고 서비스가 있지만이 틈새 시장에 적합한 것은 아니 었습니다. 가능한 한 빨리 당신의 머리카락이 실제로 불을 지킬 수 있습니다. 그 풀지 않은 틈새 시장은 새로운 프로젝트, 버그 경고를 밝혀낸 [Matthew Sullivan]을 버렸습니다. 그것은 모든 오픈 소스이므로 진정으로 원하는 경우 자신의 인스턴스를 잡을 수 있습니다. 짹짹, 텍스트 또는 전화 통화를 선택할 수 있습니다. 이것은 유용한 도구가되는 전망이 있으며, 봐!
나는 버그 경고를 특정 이상한 알 노래로 설정 한 것처럼 느낀다 …
좀비 SSRF.
[David Schütz]는 욥을 데모 할 수있는 jobs.googleapis.com을 찾은 jobs.googleapis.com을 찾아 냈습니다. 그 데모는 완전히 세련된 서비스가 아니기 때문에 흥미 롭습니다. 그러나 정품 백엔드와의 이야기. 요청은 데모 페이지의 인증 단계를 처리하는 Proxy, cxl-services.appspot.com으로 이동합니다. 그가 서버 측 요청 위조 (SSRF)를 출발할 수 있으면 인증 된 요청에 도달 할 수있을뿐만 아니라 프록시가 자신을 대신하여 웹 트래픽을 보내는 기술 일 수 있습니다. URL 구문 분석은 어렵습니다. 기술 한 기술? URL의 백 슬래시. get / proxy?url=https://sfmnev.vps.xdavidhu.me.s.kdavidhu.me.s.ks.googleapis.com/ http / 1.1.
토큰에 대한 액세스가 액세스 할 수 있으므로 [DAVID]는이 토큰이 액세스 할 수있는 내용을 확인하기 위해 다른 Google API를 철저히 확인하기 시작했습니다. 그는 우리가 전에 덮은주의를 기울이고, 당신이 얼마나 멀리 떨어져 있는지 조심스럽게 생각합니다. 그는 버그를 최대한 발휘했을 수도 있었지만, 그가 실제로 토큰에 대한 온라인 이익이 액세스 할 수 있음을 확인하기를 원했습니다. 토큰이 액세스를 체결 한 것을 확인한 후 그는 훌륭한 보고서뿐만 아니라 조심스러운 표정을 위해 추가로 1000 달러 외에도 발견 된 것뿐만 아니라 발견 된 것뿐만 아니라 매우 훌륭한 $ 3133.70에 추가되었습니다. 그게 전부 다야, 맞지? 아니요. 90 일 공개 마감일이 전달되기 바로 전에 [David]는 수리 우회를 발견했습니다. addi.ng 백 슬래시와 @ 인 모든 유형의 텍스트와 @는 충분합니다. 하나 더 $ 3133.70. 그냥 재미를 위해 그는 이전 URL을 조사했습니다. 수정 후 서비스가 없어야합니다. 네, 그는 아직 안전과 보안 토큰을 발견했을뿐만 아니라 3133.70 달러를 발견했습니다. 이 좀비 SSRF는 트위터에서 입증 된 바와 같이 아직도 죽지 않았습니다.
WordPress 업데이트
WordPress 인스턴스를 자동으로 업데이트하도록 설정하지 않은 경우 가장 최근 버전에 대해 검사 할 시간입니다. 세부 사항 이이 시점에서 부족하지만 잠재적으로 해로운 문제가 있습니다. 매우 먼저 게시 된 슬러그에서 게시 된 슬러그에서의 교차 사이트 스크립팅 취약점으로 게시 이름과 일치하는 URL의 일부입니다. 논의 된 두 번째 문제는 일부 멀티 사이트 구성에서 항목 주입입니다. 마지막 두 가지 취약점은 SQL 주입이므로 “몇 년이 있습니까?”가치가 있습니다. 나 나.
0 Comments