密码管理工具 KeePass 被爆安全漏洞：允许攻击者以纯文本形式导出整个数据库

密码管理工具 KeePass 被爆安全漏洞：允许攻击者以纯文本形式导出整个数据库 攻击者在获取目标系统的写入权限之后，通过更改 KeePass XML 配置文件并注入恶意触发器，之后该触发器将以明文方式导出包含所有用户名和密码的数据库 ============= KeePass 官方则回应表示，这个问题不应该归咎于 KeePass。KeePass 开发人员解释道：“拥有对 KeePass 配置文件的写入权限通常意味着攻击者实际上可以执行比修改配置文件更强大的攻击（这些攻击最终也会影响 KeePass，独立于配置文件保护）”。 开发人员继续说道：“只能通过保持环境安全（通过使用防病毒软件、防火墙、不打开未知电子邮件附件等）来防止这些攻击。KeePass 无法在不安全的环境中神奇地安全运行”。 ====== 用户是自己数据安全的第一责任人( ====糊==== KeepAss用户路过 你既然能写配置文件插入触发器了 那只能靠用户自己KeepAss了

密码管理软件KeePass出恶性漏洞

密码管理软件KeePass出恶性漏洞 近日，开源密码管理软件KeePass就被爆出存在恶性安全漏洞，攻击者能够在用户不知情的情况下，直接以纯文本形式导出用户的整个密码数据库。据悉，KeePass采用本地数据库的方式保存用户密码，并允许用户通过主密码对数据库加密，避免泄露。 但刚刚被发现的CVE-2023-24055漏洞，能够在攻击者获取写入权限之后，直接修改KeePass XML文件并注入触发器，从而将数据库的所有用户名和密码以明文方式全部导出。 这整个过程全部在系统后台完成，不需要进行前期交互，不需要受害者输入密码，甚至不会对受害者进行任何通知提醒。目前，KeePass官方表示，这一漏洞不是其能够解决的，有能力修改写入权限的黑客完全可以进行更强大的攻击。

重要: Emby 紧急发布 4.7.12 更新，修复黑客攻击漏洞

重要: Emby 紧急发布 4.7.12 更新，修复黑客攻击漏洞 2023年5月25日 Emby 官方发布自部署服务器安全警告的通知 该通知告知用户从 2023 年 5 月中旬开始，一名黑客设法渗透了用户托管的 Emby Server 服务器，这些服务器可通过公共互联网访问，并且管理用户帐户的配置不安全。结合最近在 beta 通道中修复的“代理标头漏洞”，这使攻击者能够获得对此类系统的管理访问权限。最终，这使得攻击者可以安装自己的自定义插件，从而在 Emby Server 的运行过程中建立后门。 表现状况: 1. 你的Emby服务器在2023年5月25日自行关闭 2. 自2023年5月25日起，Emby服务器无法启动 3. 在Emby服务器日志中遇到某些特定消息，提示检测到可能未经您知情就安装的恶意插件 4. 在Windows事件日志中遇到与以上相同文本的错误条目 注意: 如果你使用的为第三方破解版可能不会出现以上问题，但并不代表你的服务器是安全状态，仍然需要进行自我排查并尽快安装更新补丁 问题原因: 大量 emby 搭建者会开启本地无需密码登录等不安全设置，但是服务器存在标头漏洞，攻击者可以通过伪造标头来实现无密码登录，再通过插件安装实现后门安装，后门会持续性的转发每次登录的密码/用户名到攻击者的后台 处置建议: 1. 删除名为helper.dll和EmbyHelper.dll的插件.dll文件 2. 将 的主机名添加到服务器机器的/etc/hosts文件中，并设置为指向127.0.0.1 [该域名为入侵者后门链接域名] 3. 修改用户密码和管理员密码，确保没有用户的密码为空并检查服务器是否存在异常链接 4. 禁用外部网络访问，删除programdata/plugins/configurations文件夹下的ReadyState.xml文件和EmbyScripterX.xml文件（如果存在），然后启动Emby服务器 5. 尽快安装 4.7.12 的安全更新

重要: 闲蛋面板疑似出现重大漏洞，攻击者可获取管理员账号进行资金提现及导出服务端全部配置和相关服务器详细信息

重要: 闲蛋面板疑似出现重大漏洞，攻击者可获取管理员账号进行资金提现及导出服务端全部配置和相关服务器详细信息 漏洞原理: 登录后闲蛋面板直接返回了相关用户的登录信息，包括邮箱及明文密码，普通用户访问特定链接通过查阅 userType:0 即可获取管理员账号及加密密码，登录后与管理员权限相同，可执行全部操作，包括进行支付提现和导出配置数据 注意:管理员密码仅用 MD5 转换一遍，安全级别低，攻击者碰撞成本较低 处置建议: 无，建议关机到发布修复补丁 利用难度: 一般，无特殊环境要求 使用情况: 已出现在野利用 勘误补充: MD5 不是加密算法,因为它不涉及密钥的使用,也不会对原始数据进行加密处理,而是将数据压缩成固定长度的摘要值,常用于数据完整性校验和数字签名等场景。

重要/漏洞：主流Linux发行版本存在本地提权漏洞“Looney Tunables” ，攻击者可通过 GNU C 库获得 roo

重要/漏洞：主流Linux发行版本存在本地提权漏洞“Looney Tunables” ，攻击者可通过 GNU C 库获得 root 权限 漏洞编号：CVE-2023-4911 重要等级：重要 影响版本：GLIBC 2.34 原理：Linux的主流发行版本中存在一个名为“Looney Tunables”的本地提权漏洞。攻击者可以通过此漏洞利用GNU C库获得root权限。该问题主要源于GNU C库的动态加载器ld.so，当处理GLIBC_TUNABLES环境变量时，可能会发生缓冲区溢出。本地攻击者可以在启动具有SUID权限的二进制文件时，通过恶意设置的GLIBC_TUNABLES环境变量执行提权代码。此漏洞首次出现在glibc版本2.34 处置建议：CVE-2023-4911已在上游glibc中得到修复，Linux发行商正在陆续更新修复这个问题，普通用户应当尽快更新 补充：大量流行的Linux发行版上使用了GNU C 库同时将GLIBC 2.34作为默认安装的版本，包括Ubuntu、RedHat、Debian、Fedora、Gentoo都受到此问题影响，但是某些发行版（如Alpine Linux）由于使用 musl libc 而不是 glibc 而被豁免。 相关资料：

重要: 宝塔 WAF 防火墙存在 SQL 注入漏洞，攻击者可通过漏洞执行任意指令

重要: 宝塔 WAF 防火墙存在 SQL 注入漏洞，攻击者可通过漏洞执行任意指令 最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的SQL注入漏洞。在测试宝塔WAF的未授权访问漏洞时，作者无意中发现了一个可以执行任意SQL语句的SQL注入漏洞。这个漏洞存在于宝塔WAF的get_site_status API中，由于server_name参数没有进行适当的校验，直接被用于SQL查询，从而导致了SQL注入的风险。 漏洞原理：这个宝塔SQL注入漏洞的原理基于对server_name参数的不当处理。在宝塔 WAF 的get_site_status API中，server_name参数没有进行适当的校验和清洗，直接被用于构造SQL查询。这种处理方式使得攻击者可以通过构造恶意的server_name参数值来操纵SQL语句，从而实现SQL注入攻击。 通过构造特定的请求，作者成功地利用这个漏洞执行了SQL命令，包括获取数据库名称和MySQL版本信息，以及执行任意SQL查询。这表明攻击者可以利用这个漏洞对数据库进行任意操作 官方响应：目前宝塔官方尚未对这个问题进行公开回复，可能已通过暗改方式修复，但用户仍需要注意 安全建议： 1. 宝塔用户应该立即检查自己的系统，看是否存在被这个漏洞利用的迹象。 2. 关注宝塔官方的通告和更新，及时安装最新的安全补丁。 3. 考虑采取额外的安全措施，比如使用第三方的安全工具来增强WAF的防护能力。 注：用户卸载 WAF 也可避免该问题 参考信息：