谷歌 TensorFlow为修复RCE漏洞而不再支撑YAML:Netgear发布安全更新

发布时间 2021-09-08

谷歌 TensorFlow为修复RCE漏洞而不再支撑YAML


谷歌 TensorFlow为修复RCE漏洞而不再支撑YAML.jpg

 

谷歌开发的基于Python的机器学习和人工智能项目TensorFlow已经放弃了对YAML的支撑。TensorFlow代码中的yaml.unsafe_load()函数存在一个漏洞,追踪为CVE-2021-37678,评分为9.3。当应用反序列化YAML格式的Keras模型时,攻击者可利用该漏洞实行任意代码。为修复此漏洞,TensorFlow决定完全放弃YAML的支撑,转而使用JSON反序列化。


原文链接:

https://www.bleepingcomputer.com/news/security/googles-tensorflow-drops-yaml-support-due-to-code-execution-flaw/


Netgear发布安全更新,修复影响其20款产品的漏洞


Netgear发布安全更新,修复影响其20款产品的漏洞.jpg


网络设备供应商Netgear于上周9月3日发布了安全更新,修复影响其20款产品的3个漏洞。这些漏洞的代号分别为Demon's Cries、Draconian Fear和Seventh Inferno,目前前两个漏洞的PoC已经公开。其中,最严重的是Demon's Cries,CVSSv3评分为9.8,可用于绕过身份验证并接管设备。Draconian Fear也是身份验证绕过漏洞,但只能用于劫持登录的管理员会话。研究人员预计在下周一,即9月13日发布关漏洞Seventh Inferno的技术细节。


原文链接:

https://therecord.media/demons-cries-authentication-bypass-patched-in-netgear-switches/


Node.js开发团队修复NPM包node-tar中的多个漏洞


Node.js开发团队修复NPM包node-tar中的多个漏洞.png


Node.js开发团队修复了NPM包“tar”(又名node-tar)中的5个漏洞。其中较为严重的是漏洞CVE-2021-37712和CVE-2021-37701。如国家漏洞数据库(NVD)中所述,这两个漏洞可用来创建和覆盖任意文件,或实行任意代码,CVSS评分均为8.2。此次修复的漏洞影响了该NPM包版本5.0.0之前的版本。


原文链接:

https://www.ehackingnews.com/2021/09/critical-flaws-in-npm-package-patched.html


中国香港Bilaxy遭到攻击,预计损失超过2100万美金


中国香港Bilaxy遭到攻击,预计损失超过2100万美金.jpg


8月29日,中国香港的加密货币交易所Bilaxy称其遭到攻击,预计损失超过2100万美金。Bilaxy表示,攻击发生在8月28日下午6点到7点之间,攻击者窃取了295个ERC-20币。目前,Bilaxy已停止了其网站上正在进行交易,并且建议客户暂时不要将用于交易的加密货币存入交易所。此外,该网站将暂停服务至少2周,用来分析黑客行为和更新系统,并尝试取回被盗的ERC-20币。


原文链接:

https://www.ehackingnews.com/2021/09/cryptocurrency-exchange-bilaxy-under.html


FortiGuard发布2021年H1全球威胁态势的分析报告


FortiGuard发布2021年H1全球威胁态势的分析报告.png


FortiGuard于8月份发布了2021年H1全球威胁态势的分析报告。报告指出,2021年6月平均每周勒索App活动比一年前同期高出10.7倍。其中,电信行业是攻击者的首要的目标,其次是政府、托管安全服务提供商、汽车和制造行业。僵尸网络也有所增加,今年年初在35%的组织中检测到了僵尸网络活动,而这一比例在6个月后增加为51%。此外,攻击者更青睐于检测绕过技术和提权技术。


原文链接:

https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/report-threat-landscape-2021.pdf


Positive Technologies发布2021年工业风险的报告


Positive Technologies发布2021年工业风险的报告.jpg


Positive Technologies于9月1日发布了2021年工业信息安全风险的分析报告。报告指出,2020年,工业部门是仅次于政府的第二大攻击目标,有12%的攻击针对工业企业。在91%的工业企业中,攻击者可以渗透进入内网,之后攻击者就可以获得用户凭据并完全控制基础设施。2021年5月,在The Standoff 2021的虚拟靶场展示了信息安全对工业组织的影响,攻击者在两天内控制了加油站,停止了天然气供应并引发了爆炸。


原文链接:

https://www.ptsecurity.com/ww-en/analytics/ics-risks-2021/