Curl 将于10月11日修复一个严重程度为“HIGH”安全漏洞

Curl将于10月11日修复一个严重程度为“HIGH”安全漏洞10月11日，curl将推出新版本8.4.0。该更新将修复一个严重程度为HIGH等级的安全漏洞。这不是什么普通的错误。据维护人员称，这可能是他们长期以来见过的最严重的curl安全问题。有关漏洞的具体信息在发布前仍处于保密状态，预计于10月11日06:00UTC时间发布。已知信息：CVE-2023-38545：严重性HIGH（同时影响libcurl和curl工具）CVE-2023-38546：严重性LOW（仅影响libcurl，不影响工具）详细信息：https://github.com/curl/curl/discussions/12026

Google为包含严重安全问题的Chrome发布紧急更新

Google为包含严重安全问题的Chrome发布紧急更新无论你运行的是Windows、macOS还是Linux发行版，如果你是Chrome用户，现在有一个极其重要的更新需要安装。Google已经为所有三个平台发布了Chrome105.0.5195.102，以解决这个被追踪为CVE-2022-3075的漏洞。这个安全漏洞与Mojo运行库中的数据验证有关，已知已在外部被利用，因此建议用户积极寻求更新。该零日漏洞的补丁是Google今年迄今为止为Chrome浏览器发布的第六个补丁。由于相当明显的原因，该公司没有公布有关该问题的大量信息，该问题已被列为高度严重级别。Google对本次安全更新的描述如下：注意：对错误细节和链接的访问可能会保持限制，直到大多数用户被更新为修复。如果该错误存在于其他项目同样依赖的第三方库中，但尚未修复，我们也将保留限制。这次更新包括1个安全修复。下面，我们强调了由外部研究人员贡献的修复。更多信息请参见Chrome安全页面。[$TBD][1358134]高CVE-2022-3075:Mojo中数据验证不足。由匿名者于2022-08-30报告我们也要感谢所有在开发周期中与我们合作的安全研究人员，以防止安全漏洞进入稳定通道。我们的许多安全漏洞是通过AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、ControlFlowIntegrity、libFuzzer或AFL检测出来的。Google知道有报告说CVE-2022-3075的漏洞存在于外部。考虑到该缺陷的严重性，再加上已知存在漏洞的事实，Google没有更积极地向用户推送补丁，这有点令人惊讶。Chrome105.0.5195.102的推出现在正在进行中，但这可能需要几周时间才能完成。值得庆幸的是，如果你执行手动检查更新，你将得到这个最新版本--只要打开Chrome菜单，选择帮助>关于Google浏览器。了解更多：https://sites.google.com/a/chromium.org/dev/Home/chromium-security...PC版：https://www.cnbeta.com/articles/soft/1312035.htm手机版：https://m.cnbeta.com/view/1312035.htm

【慢雾CISO：curl作者在GitHub上预告将于10月11日发布8.4.0版本，并公开两个漏洞】

【慢雾CISO：curl作者在GitHub上预告将于10月11日发布8.4.0版本，并公开两个漏洞】2023年10月10日09点24分老不正经报道，慢雾首席信息安全官23pds发文表示，近日知名项目curl作者bagder在GitHub上预告将于10月11日发布8.4.0版本，并公开两个漏洞：CVE-2023-38545、CVE-2023-38546。其中CVE-2023-38545是同时影响命令行工具curl和依赖库libcurl的高危漏洞。鉴于curl&libcurl使用量巨大，高危漏洞CVE-2023-38545又即将公开，提醒加密货币行业各个服务商请做好升级准备。

Control Web Panel中严重程度为9.8的高危漏洞正在被积极利用中

ControlWebPanel中严重程度为9.8的高危漏洞正在被积极利用中该漏洞被追踪为CVE-2022-44877。它是由GaisCyberSecurity的NumanTürle发现的，并在10月的0.9.8.1147版本中打了补丁。然而，通知直到本月初才公开，这使得一些用户可能仍然没有意识到这种威胁。安全公司GreyNoise提供的数据显示，一系列针对ControlWebPanel的攻击从1月7日开始，此后慢慢增加，最近一轮的攻击持续到周三。该公司说，这些漏洞来自位于美国、荷兰和泰国的四个独立IP地址。Shadowserver显示，大约有38000个IP地址在运行ControlWebPanel，最流行的地方是欧洲，其次是北美和亚洲。CVE-2022-44877的严重性评级为9.8，满分为10，危害程度可见一斑。"Bash命令可以被运行，因为双引号被用来向系统记录不正确的条目，"该漏洞的咨询报告称。因此，未经认证的黑客可以在登录过程中执行恶意命令。据DailySwig报道，该漏洞存在于/login/index.php组件中，由于CWP在记录不正确的条目时使用了错误的结构，导致该严重漏洞的产生。该结构是：echo"incorrectentry,IPaddress,HTTP_REQUEST_URI">>/blabla/wrong.log。"由于请求URI来自用户，而且你可以看到它在双引号内，所以有可能运行$(blabla)这样的命令，这是一个bash功能，"Türle表示。考虑到利用的简易性和严重性，以及可用的利用代码，使用ControlWebPanel的组织应确保他们运行的是0.9.8.1147或更高版本。...PC版：https://www.cnbeta.com.tw/articles/soft/1339197.htm手机版：https://m.cnbeta.com.tw/view/1339197.htm

全球 2.81 亿人口面临严重粮食不安全问题

全球2.81亿人口面临严重粮食不安全问题根据联合国粮农组织、联合国难民署等多个国际组织和机构4月24日联合发布的《2024全球粮食危机报告》，2023年全球59个国家和地区的约2.816亿人口面临严重的粮食不安全问题。报告说，2023年面临严重粮食不安全问题的人口比2022年增加了约2400万人，连续5年增长。说明2030年实现消除饥饿的可持续发展目标正面临巨大挑战。报告预计，冲突将继续成为2024年严重粮食不安全的主要驱动因素。厄尔尼诺现象在2024年初达到顶峰，其对粮食危机的全面影响可能会在全年显现出来。