==== 資安雙週報 (240415) ==== 初一十五除了呷菜喔外 也要關心一下安全圈的消息 - Rust 得十分 - 財報/重訊 - 你以為只有 創意私房 嗎 - 當詐騙也需要有點資安概念 - 你以為你懂 UUID - EOL 就是 End-of-Life ## Rust 得十分！ 最近又有一個熱門的 CVSS 10.0 的安全性問題[0] 本次受害者是 Windows 環境的 Rust 處理指令時可能執行任意 Shell (CVE-2024-24576) ## 財報/重訊 這兩個禮拜出現兩個公司發表重訊 分別是 - 04/02 無毒的家 (3205 佰研) 公告 會員系統發生資料外洩事件[1] - 04/11 聯合再生 (3576 聯合再生) 偵測部分系統遭到網路攻擊 造成工廠暫時停工[2] ## 你以為只有 創意私房 嗎 根據 X 上面的消息 [3] wordpress.com 直接被警政署(?) 認定為詐騙網域 導致有一段時間無法正常使用 但... 你知/我知/獨眼龍也知 要怎樣解決這種問題 ## 當詐騙也需要有點資安概念 來自網路 (DCard) 上的熱情守護者[4] 發現一個詐騙網站包含的 AWS access key 懂的人應該知道 擁有 access key 其實可以做很多事情 (尤其還是 root) 雖然詐騙不值得支持 但還是需要讚賞一下密碼使用了 bcrypt ## 你以為你懂 UUID 你以為你懂 UUID 但是你知道 UUID 有很多版本嗎[5] 如果你無腦使用 UUID 就像使用了一個很 random 的 Math.rand ## EOL 就是 End-of-Life 最後 也是最令人興奮的消息 目前網路上存在大量 (約 92k 台) 的 D-Link NAS 存在一個 RCE 問題 (CVE-2024-3273) 官方已經宣稱[6] 受影響的產品已經 EOL (End-of-Life) 並且相關產品應退役與替換 請各位認真看待 EOL 的產品 [0]: https://nvd.nist.gov/vuln/detail/CVE-2024-24576 [1]: https://www.ithome.com.tw/news/162199 [2]: https://www.ctee.com.tw/news/20240411700810-430503 [3]: https://twitter.com/KHeresy/status/1778025526097322037 [4]: https://www.dcard.tw/f/talk/p/255196893?cid=5698BF21-15AE-44FA-917D-62C770FC80D4 [5]: https://pbs.twimg.com/media/GKm1AgpaYAAxRia?format=jpg&name=medium [6]: https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.250.54.11 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/NetSecurity/M.1713180780.A.6A5.html ※ 編輯: CMJ0121 (111.250.54.11 臺灣), 04/15/2024 19:35:57 ※ 編輯: CMJ0121 (59.124.225.43 臺灣), 04/16/2024 11:57:26