【慢雾：Distrust发现严重漏洞，影响使用Libbitcoin Explorer3.x版本的加密钱包】

【慢雾：Distrust发现严重漏洞，影响使用LibbitcoinExplorer3.x版本的加密钱包】2023年08月10日07点09分老不正经报道，据慢雾区消息，Distrust发现了一个严重的漏洞，影响了使用LibbitcoinExplorer3.x版本的加密货币钱包。该漏洞允许攻击者通过破解MersenneTwister伪随机数生成器（PRNG）来访问钱包的私钥，目前已在现实世界中造成了实际影响。漏洞详情：该漏洞源于LibbitcoinExplorer3.x版本中的伪随机数生成器（PRNG）实现。该实现使用了MersenneTwister算法，并且仅使用了32位的系统时间作为种子。这种实现方式使得攻击者可以通过暴力破解方法在几天内找到用户的私钥。影响范围：该漏洞影响了所有使用LibbitcoinExplorer3.x版本生成钱包的用户，以及使用libbitcoin-system3.6开发库的应用。已知受影响的加密货币包括Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、BitcoinCash和Zcash等。风险评估：由于该漏洞的存在，攻击者可以访问并控制用户的钱包，从而窃取其中的资金。截至2023年8月，已有超过$900,000美元的加密货币资产被盗。解决方案：我们强烈建议所有使用LibbitcoinExplorer3.x版本的用户立即停止使用受影响的钱包，并将资金转移到安全的钱包中。请务必使用经过验证的、安全的随机数生成方法来生成新的钱包。

［安全: Juniper新漏洞允许攻击者监视VPN］

［安全:Juniper新漏洞允许攻击者监视VPN］网络设备制造商Juniper披露了一个漏洞，该漏洞允许攻击者监视客户通过VPN传输的敏感通信。Juniper已经修正了这个漏洞。漏洞与自签名证书有关，它允许敌对者伪装成受信任实体，绕过对等实体证书验证，将特制的自签名证书当成有效证书。这个漏洞是Juniper产品暴露出的最新安全问题，在这之前它的固件曾被发现含有加密后门。https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10755&actp=search

新书：密码学101 ——

新书：密码学101——加密是当下时代最好的非暴力反抗行动。对加密技术感兴趣吗？这本新书中有您想要了解的一切。这份新资源提供了一个关于密码学领域和当前技术状态的全面概述。它解释了密码学作为一个研究领域，以及现有的各种无钥、私钥和公钥密码系统，然后它更深入地探讨了技术细节。它介绍、讨论并透视了当今可用的所有加密技术、机制和系统。讨论了随机数生成器和随机函数，以及单向函数和密码学散列函数。介绍和描述了伪随机数生成器及其功能。探讨了对称加密和验证。这本书向读者提供离散数学、概率论和复杂性理论的概述。解释了密钥的建立。还确定了非对称加密和数字签名。由该领域的专家撰写，提供了对新手和有经验的从业者都有益的思考和概念。

Oracle 上周修补了 Java 15 及更高版本中的一个严重错误，该错误使攻击者可以伪造 TLS 证书和签名、双因素身份验证

Oracle上周修补了Java15及更高版本中的一个严重错误，该错误使攻击者可以伪造TLS证书和签名、双因素身份验证消息等使用甲骨文较新版本的Java框架的组织在上周三收到提醒。一个关键的漏洞可以使黑客很容易伪造TLS证书和签名、双因素认证信息以及由一系列广泛使用的开放标准产生的授权凭证。甲骨文公司上周二修补了这个漏洞，它影响到该公司在Java15及以上版本中对椭圆曲线数字签名算法的实现。ECDSA是一种利用椭圆曲线密码学原理对信息进行数字认证的算法。与RSA或其他加密算法相比，ECDSA的一个关键优势是它生成的密钥规模较小，这使得它非常适合用于包括基于FIDO的2FA、安全断言标记语言、OpenID和JSON等标准。该漏洞被追踪为CVE-2022-21449，其严重性评级为7.5（满分10分），但Madden说，根据他的评估，他将其严重性评级为10分，"因为在访问管理背景下对不同功能的影响范围很广"。该漏洞可以被脆弱网络之外的人利用，根本不需要验证。——arstechnica

Google宣布扩展针对开源软件的新一期漏洞奖励计划

Google宣布扩展针对开源软件的新一期漏洞奖励计划Google早在2010年就推出了漏洞奖励计划（VRP）。顾名思义，它鼓励研究人员和网络安全专家检测安全问题和漏洞，然后私下向供应商报告。报告后，这些漏洞将被公司修复，发现问题的人将获得金钱奖励。在过去几年中，Google一直致力于统一该平台，并将其扩展到更多平台。今天，该公司宣布了又一次扩张，这次是在开放源代码软件（OSS）领域。Google强调，它是开放源码软件最大的贡献者和维护者之一，旗下有Golang、Angular和Fuchsia等项目，因此它理解保护这一领域的必要性。因此，它的OSSVRP计划也是为了鼓励在这方面的努力。OSSVRP侧重于Google旗下的任何OSS代码。这不仅包括其维护的项目，还包括由其他供应商维护的任何OSS依赖。本VRP所涵盖的两类开放源码软件定义如下：储存在Google旗下GitHub组织的公共存储库中的所有最新版本的开源软件（包括存储库设置）。这些项目的第三方依赖（在提交给Google的OSSVRP之前需要事先通知受影响的依赖方）Google现在接受的提交类型包括供应链妥协、设计缺陷和一般的安全问题，如薄弱或泄露的凭证，或不安全的部署。奖励从100美元开始，最高可达31337美元，不过，上限通常针对更敏感的项目，如Bazel、Angular、Golang、协议缓冲区和Fuchsia。Google希望这种社区驱动的合作努力将有助于提高开放源码软件的安全性。该倡议是Google一年前与美国总统拜登会面后宣布的100亿美元网络安全投资的一部分。早在4月，Google承诺支持开源安全基金会（OpenSSF）的软件包分析项目，以检测恶意的开源软件包也。如果你对参与OSSVRP感兴趣，你可以在这里查看要求和其他流程：https://bughunters.google.com/about/rules/6521337925468160/google-open-source-software-vulnerability-reward-program-rules...PC版：https://www.cnbeta.com/articles/soft/1310487.htm手机版：https://m.cnbeta.com/view/1310487.htm

首次发现，用于保护SSH连接的加密密钥在一种新的攻击中被盗取

首次发现，用于保护SSH连接的加密密钥在一种新的攻击中被盗取新的研究称，在计算机到服务器SSH通信中，用于保护数据的密码密钥存在漏洞，可能被攻击者利用。研究人员发现，在建立连接时，由于自然发生的计算错误，约10亿个SSH签名中的每百万个签名会暴露主机的私钥。只要一个内存位翻转的小错误，就能暴露私人密钥。这个问题只影响使用RSA密码算法的密钥，并且令人惊讶的是，大多数SSH软件在发送签名之前已经部署了反制措施。然而，研究人员认为其他协议也应该采取类似的保护措施。他们建议审查和更新SSH实现的安全性，并推荐使用更现代和安全的密码算法。参考：来源：Viagoddaneel投稿：@ZaiHuaBot频道：@TestFlightCN