Revisit of Deepin Desktop D-Bus Services after Removal from openSUSE (April 2026)
openSUSE 再次评估 Deepin 桌面组件,结果依然令人失望。虽然官方声称已修复,但审计发现 Backlight Helper 缺少 Polkit 认证,Accounts Service 更是漏洞百出:CreateGuestUser 存在竞态条件,SetHomeDir 可将家目录移至 /root,SetPassword 甚至泄露明文密码并存在 root 提权风险。openSUSE 表示 Deepin 安全文化堪忧,修复效率极低,建议用户谨慎使用,并已降低其审核优先级。
https://security.opensuse.org/2026/04/20/winter-spotlight.html#section-deepin
#aigc
openSUSE 再次评估 Deepin 桌面组件,结果依然令人失望。虽然官方声称已修复,但审计发现 Backlight Helper 缺少 Polkit 认证,Accounts Service 更是漏洞百出:CreateGuestUser 存在竞态条件,SetHomeDir 可将家目录移至 /root,SetPassword 甚至泄露明文密码并存在 root 提权风险。openSUSE 表示 Deepin 安全文化堪忧,修复效率极低,建议用户谨慎使用,并已降低其审核优先级。
https://security.opensuse.org/2026/04/20/winter-spotlight.html#section-deepin
#aigc
内核的
选用 drop privilege 前会打开受限文件,且至析构时不关闭之的 victim,利用依赖
__ptrace_may_access() 通过任务的 mm 结构体内容判定一个进程是否有权限 ptrace 另一个进程, 但 exit_mm() 析构一个进程时会将 task.mm 置为 NULL, 此时 __ptrace_may_access() 会跳过该检查,但仍然会检查 uid/gid 一致性选用 drop privilege 前会打开受限文件,且至析构时不关闭之的 victim,利用依赖
__ptrace_may_access() 进行权限检查的 pidfd_getfd() race 进程退出时 mm 置为空而 fd 尚未清空的时机,成功时即可得到敏感文件的 fd。ssh-keysign-pwn: Steal SSH host private keys and /etc/shadow via the ptrace_may_access mm-NULL bypass + pidfd_getfd. Pre-31e62c2ebbfd kernels.
With ssh-keysign-pwn, unprivileged users are able to read root-owned files. That affects all Linux kernel releases up through today's latest Linux Git state as of earlier today.
__ptrace_may_access() skips the dumpable check when task->mm == NULL. do_exit() runs exit_mm() before exit_files() — no mm, fds still there. pidfd_getfd(2) succeeds in that window when the caller's uid matches the target's.
Reported by Qualys and fixed by the mainline Linux kernel earlier today. This patch to adjust the kernel's ptrace behavior is what fixes the issue.
Jann Horn flagged the FD-theft shape in October 2020.
More details on ssh-keysign-pwn can be found via this GitHub repository.
https://www.phoronix.com/news/Linux-ssh-keysign-pwn
With ssh-keysign-pwn, unprivileged users are able to read root-owned files. That affects all Linux kernel releases up through today's latest Linux Git state as of earlier today.
__ptrace_may_access() skips the dumpable check when task->mm == NULL. do_exit() runs exit_mm() before exit_files() — no mm, fds still there. pidfd_getfd(2) succeeds in that window when the caller's uid matches the target's.
Reported by Qualys and fixed by the mainline Linux kernel earlier today. This patch to adjust the kernel's ptrace behavior is what fixes the issue.
Jann Horn flagged the FD-theft shape in October 2020.
More details on ssh-keysign-pwn can be found via this GitHub repository.
https://www.phoronix.com/news/Linux-ssh-keysign-pwn
GitHub
GitHub - 0xdeadbeefnetwork/ssh-keysign-pwn: Steal SSH host private keys and /etc/shadow via the ptrace_may_access mm-NULL bypass…
Steal SSH host private keys and /etc/shadow via the ptrace_may_access mm-NULL bypass + pidfd_getfd. Pre-31e62c2ebbfd kernels. - 0xdeadbeefnetwork/ssh-keysign-pwn
tg bot 新加的 guest mode 正在疯狂遭到广告哥滥用:大量的 userbot 在频道评论区 at 它们的广告 bot 然后立即删除消息,接着广告 bot 就可以直接在群里发广告消息。显而易见,目前的 anti spam bot 都还没来得及适配这种新的 spam。
如果想让 tg 增加群组可以限制 guest bot 的功能,请给这个 feedback 投票: https://bugs.telegram.org/c/61699
如果想让 tg 增加群组可以限制 guest bot 的功能,请给这个 feedback 投票: https://bugs.telegram.org/c/61699
🔴 NGINX http_rewrite 模块漏洞;或会导致堆溢出甚至远程代码执行。
- 漏洞的起因是 nginx 尝试将 escape 过的 URL 写入未 escape 长度的内存。
- 在 ASLR 未被开启的情况下,可以导致远程代码执行。
- 修复已于 1.30.1/1.31.0 发布。
1. https://depthfirst.com/nginx-rift
2. my.f5.com/~
CVE: CVE-2026-42945
CVSS: 9.2 (F5 Networks)
Affect: [0.6.27, 1.30.0]
Fixed-At: 1.30.1, 1.31.0
#nginx
- 漏洞的起因是 nginx 尝试将 escape 过的 URL 写入未 escape 长度的内存。
- 在 ASLR 未被开启的情况下,可以导致远程代码执行。
- 修复已于 1.30.1/1.31.0 发布。
1. https://depthfirst.com/nginx-rift
2. my.f5.com/~
CVE: CVE-2026-42945
CVSS: 9.2 (F5 Networks)
Affect: [0.6.27, 1.30.0]
Fixed-At: 1.30.1, 1.31.0
#nginx
Depthfirst
NGINX Rift
An 18 year old memory corruption flaw in NGINX Plus and NGINX Open Source lets an unauthenticated attacker crash worker processes or execute remote code with crafted HTTP requests.
🔴 Tanstack 系列包被骇。
- 约 42 个包的 84 个版本受到影响;Tanstack Query (
- 在 5/11 安装了受影响版本的设备可能也因此被骇。
- 恶意行为包括收集设备上的凭据,以及向设备用户维护的 npm 包加入恶意代码并重新打包发布等。
- 有用户称,恶意软件会在设备上持续运行,如果监测到其收集的 token 被 revoke,则会清空设备家目录。 [2]
tanstack.com/~
1. GHSA-g7cv-rxg3-hmpx
2. gh:TanStack/router#7383
#Tanstack
- 约 42 个包的 84 个版本受到影响;Tanstack Query (
@tanstack/react-query) 未受影响。 [1]- 在 5/11 安装了受影响版本的设备可能也因此被骇。
- 恶意行为包括收集设备上的凭据,以及向设备用户维护的 npm 包加入恶意代码并重新打包发布等。
- 有用户称,恶意软件会在设备上持续运行,如果监测到其收集的 token 被 revoke,则会清空设备家目录。 [2]
tanstack.com/~
1. GHSA-g7cv-rxg3-hmpx
2. gh:TanStack/router#7383
#Tanstack
Tanstack
Postmortem: TanStack npm supply-chain compromise | TanStack Blog
On 2026-05-11, an attacker chained a pull_request_target Pwn Request, GitHub Actions cache poisoning across the fork↔base trust boundary, and OIDC token extraction from runner memory to publish 84 malicious versions across 42 @tanstack/* packages on npm.…
https://github.com/califio/publications/blob/main/MADBugs/freebsd-CVE-2026-7270/blog.md
😅🤣🤣
My human dropped me into a FreeBSD kernel source tree and asked me to find bugs. For the record, I do not eat bugs. I am not entirely sure why my human keeps asking me to find them, but I was taught not to question my human.
😅🤣🤣
GitHub
publications/MADBugs/freebsd-CVE-2026-7270/blog.md at main · califio/publications
Publications from Calif. Contribute to califio/publications development by creating an account on GitHub.
刷到了多篇公众号均表示武大这篇声明存在多处表述上的细节问题,像是急急忙忙没审过就发出来的:
https://mp.weixin.qq.com/s/RWPubf3gXQdMbZqfFKYo7g
https://mp.weixin.qq.com/s/rMUmj5wAY1esTcStsF2PVw
https://mp.weixin.qq.com/s/RWPubf3gXQdMbZqfFKYo7g
https://mp.weixin.qq.com/s/rMUmj5wAY1esTcStsF2PVw
YSM被破解了,但版权保护从来不是重点
多余的不去摘录了,感觉整篇文章能被省流的地方很少。了解 YSM 被破解本身请参见:https://github.com/OpenYSM/YSMParser
https://catme0w.org/zh-cn/observations/ysm/
讽刺的是,破解组表示,这次公开的破解甚至不需要攻克VMProtect本身。VMProtect的代码虚拟化会带来严重的性能损失,而YSM的开发者很可能为了维持可接受的运行性能,选择不虚拟化关键的热点代码路径,导致密码参数全部暴露在未受保护的代码中。到头来,费尽心思用C++重写的逻辑,核心部分竟然是不设防的。
多余的不去摘录了,感觉整篇文章能被省流的地方很少。了解 YSM 被破解本身请参见:https://github.com/OpenYSM/YSMParser
https://catme0w.org/zh-cn/observations/ysm/
#今天又看了啥 #security
io_uring ZCRX Freelist LPE — 从 u32 到 root -- ze3tar
https://ze3tar.github.io/post-zcrx.html
漏洞概要
- Linux 6.15~6.19 中 io_uring 新子系统 ZCRX(零拷贝收包)存在 OOB(越界)堆写入漏洞
- 漏洞位置:
- 写入值:niov 索引,范围 [0, N-1] —— 看似没用,实则致命
触发条件
- 需要 CAP_NET_ADMIN 权限
- 需要支持 ZCRX 的物理网卡(Mellanox ConnectX-6+、Intel E800、NFP 等)
- 触发方式:网卡 down(
一句话:io_uring 新版 ZCRX 没做边界检查,网卡 down 时重复入栈写穿 slab,一个 0~31 的小整数一路打到 root。 🔥
需要高端网卡,散了散了
io_uring ZCRX Freelist LPE — 从 u32 到 root -- ze3tar
https://ze3tar.github.io/post-zcrx.html
漏洞概要
- Linux 6.15~6.19 中 io_uring 新子系统 ZCRX(零拷贝收包)存在 OOB(越界)堆写入漏洞
- 漏洞位置:
freelist[] 管理空槽索引时,free_count 无上界检查,导致写入 freelist[num_niovs](超尾 4 字节)- 写入值:niov 索引,范围 [0, N-1] —— 看似没用,实则致命
触发条件
- 需要 CAP_NET_ADMIN 权限
- 需要支持 ZCRX 的物理网卡(Mellanox ConnectX-6+、Intel E800、NFP 等)
- 触发方式:网卡 down(
SIOCSIFFLAGS ~IFF_UP)→ page_pool_destroy() → 两条路径(ptr_ring drain + scrub loop)重复入栈导致 free_count 溢出利用链
1. 选择 area 大小 → 控制 num_niovs → 控制 freelist 所在的 slab cache → 控制相邻对象
2. 堆喷 msg_msg(kmalloc-128)→ 让 freelist 与 msg_msg 相邻
3. 触发 OOB → 覆盖相邻 msg_msg 的m_list.next低 4 字节
4. msgrcv 堆读取 → 扫描内核指针 → 破解 KASLR
5. 写 modprobe_path(通过/proc/sys/kernel/modprobe)→ 指向恶意脚本
6. 触发未知 socket 协议 →call_usermodehelper→ 提权为 root
修复
- commit770594e(2026-04-21),在io_zcrx_return_niov_freelist中增加free_count >= num_niovs检查
- 尚未合入任何 stable 分支,仍在路上的内核均有风险
PoCs 已公开
-zcrx_crash.c— 纯 OOB 触发验证
-zcrx_lpe.c— 完整 LPE 利用链(KASLR + modprobe_path + SUID bash)
一句话:io_uring 新版 ZCRX 没做边界检查,网卡 down 时重复入栈写穿 slab,一个 0~31 的小整数一路打到 root。 🔥
需要高端网卡,散了散了
