OpenSSL 正在考虑弃用 TLS 1.0 和 TLS 1.1 协议。目前，这些协议在运行时被禁用，需要通过降低 SSL 安全级别值来启用。计划在未来的 4.0 版本（预计在未来 12-18 个月内发布）中，在构建时明确禁用 TLS 1.0/1.1，并考虑在未来主要版本中完全移除相关代码。默认配置可以被覆盖以重新启用 TLS 1.0/1.1。

社区提出的问题包括：

1. 发行版/用户是否对这一时间框架内的方法感到满意？
2. OpenSSL 构建者是否会使用默认配置（在 4.0 中禁用 TLS 1.0/1.1），还是会在他们的构建中重新启用这些协议？
3. 如果重新启用已弃用的协议，什么样的警告机制可以合理地通知用户这些协议将在未来某个时间点被移除，从而促使用户更新到更安全的协议？

欢迎社区提供对这些问题的反馈。

原文链接: https://www.openwall.com/lists/oss-security/2024/08/06/1
标签: #OpenSSL #网络安全 #TLS
#AIGC

Flatpak 发现了一个安全漏洞 (CVE-2024-42472)，该漏洞允许使用持久目录的应用程序访问主机文件。受影响的版本包括所有低于 1.14.10 的版本和 1.15.x 低于 1.15.10 的版本。修复版本为 1.14.x 大于等于 1.14.10 和所有大于等于 1.15.10 的版本。

该漏洞允许恶意或被破坏的 Flatpak 应用读写通常无法访问的文件位置，影响完整性和保密性。漏洞的原因是当使用持久目录时，如果源目录被替换为符号链接，应用程序启动时绑定挂载会跟随符号链接，将指向的任何内容挂载到沙箱中。

修复包括在 Flatpak 1.14.10 和 1.15.10 中，并需要添加新的 --bind-fd 选项到 bubblewrap（Flatpak 使用的沙箱组件）以避免时间检查/时间使用竞争条件。如果难以修补 bubblewrap，可以仅应用补丁“不跟随符号链接挂载持久目录”，并避免同时运行同一不受信任应用的两个实例。

详情请参阅：https://github.com/flatpak/flatpak/security/advisories/GHSA-7hgv-f2j8-xw87

标签：#Linux #Security #Flatpak
#AIGC

CPython zipfile 模块高危漏洞 CVE-2024-8088

CPython 的 zipfile 模块存在一个高危漏洞，编号为 CVE-2024-8088。该漏洞会导致在处理恶意构造的 zip 档案时，程序陷入无限循环。具体来说，当使用 zipfile.Path 类及其方法（如 namelist()`、`iterdir()`、`extractall() 等）遍历 zip 档案条目名称时，可能会触发无限循环。

此漏洞的根本原因在于 zipfile._path._ancestry() 方法中的路径处理不当。具体来说，代码中的 path.rstrip(posixpath.sep) 和 while 循环条件未正确处理路径，导致无限循环。例如，`posixpath.split("//") 返回 ("//", "")，而 "//" != posixpath.sep` 导致循环无法退出。

该漏洞已被修复，建议更新 CPython 并加强输入验证，以防止潜在的拒绝服务攻击。

原文链接： https://www.openwall.com/lists/oss-security/2024/08/22/1 https://www.openwall.com/lists/oss-security/2024/08/22/4

标签： #CPython #漏洞 #zipfile #无限循环
#AIGC

GitLab 发布了多个版本的紧急补丁，包括 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10，主要修复了关键的 SAML 认证绕过漏洞。建议所有自托管的 GitLab 安装立即升级到这些版本。 GitLab.com 已经运行了修复后的版本。

主要修复内容：
- SAML 认证绕过漏洞**：更新了依赖项 omniauth-saml 到 2.2.1 版本和 ruby-saml 到 1.17.0 版本，以缓解 CVE-2024-45409。此漏洞仅影响配置了 SAML 认证的实例。

**自托管 GitLab 的缓解措施：
- 启用 GitLab 的双因素认证（2FA）。
- 禁止 SAML 的双因素绕过选项。

检测和识别攻击尝试：
- 攻击尝试的证据将出现在 GitLab 的 application_json 和 auth_json 日志文件中。

CVE-2024-45409 详细信息：
- Ruby SAML 库在 1.12.2 及以下版本和 1.13.0 到 1.16.0 版本中未能正确验证 SAML 响应的签名，导致攻击者可以伪造 SAML 响应/断言，从而以任意用户身份登录系统。此漏洞已在 1.17.0 和 1.12.3 版本中修复。

更多详情请查看：
- GitLab 发布公告
- CVE-2024-45409 详情
- ruby-saml 安全公告
- omniauth-saml 安全公告

#GitLab #Security #CVE #AIGC

OpenSSH 9.9 发布于 2024 年 9 月 19 日，带来了多项新功能和改进。主要更新包括：

1. **DSA 算法弃用**：计划在 2025 年初完全移除 DSA 签名算法的支持，此版本已默认在编译时禁用 DSA。
2. **预认证压缩移除**：移除了预认证压缩支持，以减少攻击面。
3. **量子安全密钥交换**：新增基于 ML-KEM 和 X25519 的混合后量子密钥交换算法。
4. **配置指令改进**："Match" 配置指令的参数处理更加符合 shell 规则。
5. **安全性增强**：防止私钥在核心转储文件中泄露，并增加了登录时间的随机抖动。

此外，还修复了多个 bug，包括路径处理、日志消息顺序和授权密钥选项处理等问题。详细信息请访问 OpenSSH 9.9 发布页面。

https://www.openssh.com/txt/release-9.9

#OpenSSH #网络安全
#AIGC

2024年9月25日，WebKitGTK 和 WPE WebKit 发布了安全公告 WSA-2024-0005， 涉及多个安全漏洞。这些漏洞可能导致恶意网站引发跨域行为、任意代码执行或用户指纹识别等问题。受影响的版本包括 WebKitGTK 和 WPE WebKit 在 2.42.5 之前的版本。建议用户更新到最新稳定版本以确保安全。

详细信息请访问：
- [WebKitGTK 安全公告](https://webkitgtk.org/security/WSA-2024-0005.html)
- [WPE WebKit 安全公告](https://wpewebkit.org/security/WSA-2024-0005.html)

标签：#网络安全 #WebKitGTK #WPEWebKit #安全更新

#AIGC

勘误：

在先前的安全公告中，关于受影响版本的描述存在错误。正确的信息应为：

- CVE-2024-23271: 影响版本为 WebKitGTK 和 WPE WebKit 在 2.42.5 之前版本。
- CVE-2024-27808、CVE-2024-27820、CVE-2024-27833、CVE-2024-27850: 影响版本为 WebKitGTK 和 WPE WebKit 在 2.44.2 之前版本。
- CVE-2024-27830、CVE-2024-27838、CVE-2024-27851: 影响版本为 WebKitGTK 和 WPE WebKit 在 2.44.3 之前版本。
- CVE-2024-40857、CVE-2024-40866、CVE-2024-44187: 影响版本为 WebKitGTK 和 WPE WebKit 在 2.46.0 之前版本。

我们对此造成的混淆深表歉意。

#AIGC

GitLab 发布了关键补丁版本 17.4.2、17.3.5 和 17.2.9，修复了多个安全漏洞。强烈建议所有受影响版本的用户尽快升级到最新版本。主要修复的安全问题包括：

1. **任意分支上的运行管道**（关键）：允许在任意分支上运行管道，现已修复并分配 CVE-2024-9164。
2. **攻击者可以冒充任意用户**（高）：在特定情况下，攻击者可以触发其他用户的管道，现已修复并分配 CVE-2024-8970。
3. **分析仪表板中的 SSRF**（高）：配置并启用了产品分析仪表板的实例可能受到 SSRF 攻击，现已修复并分配 CVE-2024-8977。
4. **查看带有冲突的 MR 差异缓慢**（高）：查看带有冲突的合并请求差异时可能变慢，现已修复并分配 CVE-2024-9631。
5. **OAuth 页面中的 HTMLi**（高）：在授权新应用程序时，特定情况下可能渲染为 HTML，现已修复并分配 CVE-2024-6530。
6. **部署密钥可以推送到已归档的仓库**（中）：部署密钥可以推送到已归档的仓库，现已修复并分配 CVE-2024-9623。
7. **访客可以泄露项目模板**（中）：访客用户可以通过 API 泄露项目模板，现已修复并分配 CVE-2024-5005。
8. **GitLab 实例版本泄露给未经授权的用户**（低）：未经授权的攻击者可以确定 GitLab 实例的版本号，现已修复并分配 CVE-2024-9596。

请立即升级以确保系统安全。

原文链接：GitLab Critical Patch Release

标签：#GitLab #安全更新 #软件开发

#AIGC

PyPI 现在支持数字证明，增强了项目供应链的安全性。维护者可以在发布包时附上签名的数字证明，并通过新的 API 供用户和安装程序验证这证明。与传统的 PGP 签名相比，数字证明有三大优势：它们由身份而非密钥对签名，提供与上游源仓库的可验证链接，并且在上传时必须可验。已有超过 20,000 个证明被发布。PyPI 还提供了新的 Integrity API 和网页界面，方便用户查看文件的证明。

https://blog.pypi.org/posts/2024-11-14-pypi-now-supports-digital-attestations/

#Python #Security #PyPI

#AIGC

OpenWrt 宣布重大变更：从 2024 年 11 月起，主开发分支和未来稳定版本（包括即将发布的 24.10 系列）将使用新的包管理器 apk 替代原有的 opkg。这一变化标志着 OpenWrt 平台发展的重要里程碑，opkg 已被弃用并不再包含在 OpenWrt 中。由于这是安装和管理包方式的根本性转变，社区正在 [论坛](https://forum.openwrt.org/t/the-future-is-now-opkg-vs-apk/201164) 中积极讨论新系统的选项和语法。请注意，此变更不影响 23.05 版本，截至 2024 年 11 月 15 日，24.10 分支仍使用 opkg。

https://forum.openwrt.org/t/major-change-notice-new-package-manager/215682

#OpenWrt #PackageManager #TechnologyUpdate

#AIGC

本地权限提升漏洞影响 needrestart 工具

Qualys 安全公告指出，needrestart 工具中存在多个本地权限提升漏洞（LPE），这些漏洞允许任何非特权用户获得 root 权限。needrestart 是一个 Perl 工具，自 Ubuntu Server 21.04 版本起默认安装，用于检查系统或服务是否需要重启。

主要漏洞包括：
1. CVE-2024-48990 和 CVE-2024-48992：攻击者可以通过控制 PYTHONPATH 或 RUBYLIB 环境变量，诱使 needrestart 运行 Python 或 Ruby 解释器，从而执行任意代码。
2. CVE-2024-48991：攻击者可以通过竞争条件，诱使 needrestart 运行攻击者伪造的 Python 解释器。
3. CVE-2024-10224 和 CVE-2024-11003：攻击者可以通过控制文件名，诱使 needrestart 调用 Perl 的 ScanDeps 模块时执行任意 shell 命令。

这些漏洞自 needrestart 0.8 版本（2014年4月）引入解释器支持以来就已存在。目前，Qualys 不会公开其利用代码，但警告其他研究人员可能会在协调发布后不久公开有效的利用方法。

缓解措施：
建议在 needrestart 配置中禁用解释器扫描功能：

$nrconf{interpscan} = 0;

原文链接：
Qualys Security Advisory

标签：
#安全漏洞 #Ubuntu #needrestart #LPE

#AIGC