#security
一种新的内存攻击思路,使用UEFI App在硬重启之后直接读取所有内存,从而在内存里找到还没来得及被清除的Bitlocker密钥从而绕过Bitlocker。它比冻内存的方法简单在于 1. 无需拆机 2. 无需购买高端设备 3.不会被液氮冻到(
内存加密可以直接阻止此类攻击,SecureBoot可以缓解此类攻击。
攻击介绍:https://noinitrd.github.io/Memory-Dump-UEFI/
介绍此问题的知乎专栏:https://zhuanlan.zhihu.com/p/18072847873
一种新的内存攻击思路,使用UEFI App在硬重启之后直接读取所有内存,从而在内存里找到还没来得及被清除的Bitlocker密钥从而绕过Bitlocker。它比冻内存的方法简单在于 1. 无需拆机 2. 无需购买高端设备 3.不会被液氮冻到(
内存加密可以直接阻止此类攻击,SecureBoot可以缓解此类攻击。
攻击介绍:https://noinitrd.github.io/Memory-Dump-UEFI/
介绍此问题的知乎专栏:https://zhuanlan.zhihu.com/p/18072847873
#security
rsync 爆出多个CVE漏洞。这些漏洞结合起来可以使攻击者仅凭匿名只读权限在服务器上执行任意代码,同时已感染的服务器可以用来读写客户端任意文件。
请使用rsync的读者更新到 3.4.0,如果运行rsyncd服务更新完毕之后请重启服务。
CVE-2024-12084 内存读写越界
CVE-2024-12085 猜测未初始化内存内容
CVE-2024-12086 服务器可以读取客户端任意文件
CVE-2024-12087 路径逃逸,服务器可以在客户端写入任意文件
CVE-2024-12088 符号链接漏洞
CVE-2024-12747 符号链接竞态条件漏洞
https://kb.cert.org/vuls/id/952657
https://www.group-telegram.com/aosc_os/761
rsync 爆出多个CVE漏洞。这些漏洞结合起来可以使攻击者仅凭匿名只读权限在服务器上执行任意代码,同时已感染的服务器可以用来读写客户端任意文件。
请使用rsync的读者更新到 3.4.0,如果运行rsyncd服务更新完毕之后请重启服务。
CVE-2024-12084 内存读写越界
CVE-2024-12085 猜测未初始化内存内容
CVE-2024-12086 服务器可以读取客户端任意文件
CVE-2024-12087 路径逃逸,服务器可以在客户端写入任意文件
CVE-2024-12088 符号链接漏洞
CVE-2024-12747 符号链接竞态条件漏洞
https://kb.cert.org/vuls/id/952657
https://www.group-telegram.com/aosc_os/761
#security
B站这个开盒用户+直接修改生产在页面里引入自己域名下的js让我头皮发麻
https://blog.xpdbk.com/posts/bilibili-2025-1-neibu-hedingben/
edit1:
员工评价:至今企业微信没销号;想想是那个组(前端)的人,一切合理了起来;那个组果粉得不行;Safari没有的特性不给用。
edit2:
听说是上了个版本然后灰度放量,然后选择这个人的账号100%命中灰度
B站这个开盒用户+直接修改生产在页面里引入自己域名下的js让我头皮发麻
https://blog.xpdbk.com/posts/bilibili-2025-1-neibu-hedingben/
edit1:
员工评价:至今企业微信没销号;想想是那个组(前端)的人,一切合理了起来;那个组果粉得不行;Safari没有的特性不给用。
edit2:
听说是上了个版本然后灰度放量,然后选择这个人的账号100%命中灰度
LEl_FENG的博客
2025.1 B站员工事件合订本记录
2025.1 B站内部员工事件合订本
#ops
1:运维误操作之后不可隐瞒,尽快通知其他运维人员,迅速恢复。误操作之后不要有侥幸心里,不要认为不会被发现,没人知道,从而避免自己被批评,隐瞒不报会给公司带来更多损失。
2:禁止运行自己不理解的命令和未知脚本。尤其是在生产环境,不要运行自己不理解的命令,可能会闯祸。有人使用dd命令测试磁盘性能,却毁掉了生产数据,给公司带来数十万损失。
3:生产环境禁止用于个人试验用途,禁止用来练习脚本技能等。保持学习和持续提高自身技能,是很赞的工作态度。但是请不要在生产环境进行练习,有闯祸风险。
4:禁止运行来路不明的破解软件,优先选择开源软件或授权的商业软件。网络上随意下载的软件可能包括木马病毒和勒索软件等,如发生内网传播,对严重破坏公司数字资产,如勒索软件。
5:禁止从数据库中导出用户数据后,未经脱敏步骤就发送给其他人员(运营,开发等)。从源头上保护用户数据安全,减少泄露风险。禁止出于好奇心和炫耀目的,将用户数据发放到社交平台。
6:禁止变更方案中不包含回退方案,要有应对意外的准备。不怕一万,就怕万一,要为突发情况准备应急方案。
7:禁止以任何方式变相压榨外包运维工程师。道德上来说,尊重他人。其二,公司运维负担临时增加时,外包工程师辅助完成公司任务,管理层应能力范围内为外包同学多争取福利。
8:禁止大范围更新配置和数据前,没有进行小范围试点。灰度发布同样适用于运维,灰度发布过程中能提前发现问题,避免大范围影响到全局环境。小范围验证通过后,按批次更新剩余节点。
9:禁止变更后不检查业务,信心十足地认为业务无问题而无需检查。变更前尽早检查是否满足变更前提,变更后验证业务是否正常。一次成功的变更包括了业务运行状态的检查。
10:禁止将公司敏感文档,商业方案,产品关键架构和代码上传到外部网站换取积分等。可能给公司带来无法预测的后果,甚至引发公司倒闭。
11:运维人员身体不舒服,状态不佳时,禁止做高风险变更。带病和状态不佳时,进行高风险工作是不建议的,高风险变更前要神智清晰,不可过量饮酒等。(编者注:就不要喝酒)
作者:运维猫猫侠
链接:https://zhuanlan.zhihu.com/p/822488366
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
1:运维误操作之后不可隐瞒,尽快通知其他运维人员,迅速恢复。误操作之后不要有侥幸心里,不要认为不会被发现,没人知道,从而避免自己被批评,隐瞒不报会给公司带来更多损失。
2:禁止运行自己不理解的命令和未知脚本。尤其是在生产环境,不要运行自己不理解的命令,可能会闯祸。有人使用dd命令测试磁盘性能,却毁掉了生产数据,给公司带来数十万损失。
3:生产环境禁止用于个人试验用途,禁止用来练习脚本技能等。保持学习和持续提高自身技能,是很赞的工作态度。但是请不要在生产环境进行练习,有闯祸风险。
4:禁止运行来路不明的破解软件,优先选择开源软件或授权的商业软件。网络上随意下载的软件可能包括木马病毒和勒索软件等,如发生内网传播,对严重破坏公司数字资产,如勒索软件。
5:禁止从数据库中导出用户数据后,未经脱敏步骤就发送给其他人员(运营,开发等)。从源头上保护用户数据安全,减少泄露风险。禁止出于好奇心和炫耀目的,将用户数据发放到社交平台。
6:禁止变更方案中不包含回退方案,要有应对意外的准备。不怕一万,就怕万一,要为突发情况准备应急方案。
7:禁止以任何方式变相压榨外包运维工程师。道德上来说,尊重他人。其二,公司运维负担临时增加时,外包工程师辅助完成公司任务,管理层应能力范围内为外包同学多争取福利。
8:禁止大范围更新配置和数据前,没有进行小范围试点。灰度发布同样适用于运维,灰度发布过程中能提前发现问题,避免大范围影响到全局环境。小范围验证通过后,按批次更新剩余节点。
9:禁止变更后不检查业务,信心十足地认为业务无问题而无需检查。变更前尽早检查是否满足变更前提,变更后验证业务是否正常。一次成功的变更包括了业务运行状态的检查。
10:禁止将公司敏感文档,商业方案,产品关键架构和代码上传到外部网站换取积分等。可能给公司带来无法预测的后果,甚至引发公司倒闭。
11:运维人员身体不舒服,状态不佳时,禁止做高风险变更。带病和状态不佳时,进行高风险工作是不建议的,高风险变更前要神智清晰,不可过量饮酒等。(编者注:就不要喝酒)
作者:运维猫猫侠
链接:https://zhuanlan.zhihu.com/p/822488366
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。