Skip to main content

Search: #Security

今天abc看了啥🤔
现在我也不知道这频道发了啥了,各位慢慢吃瓜,将就着看

联系我请去 @abc1763613206

友链儿
@cyberElaina
@rvalue_daily
@billchenla

  2. Forwarded from 🐱MiaoTony's Box | 困困困 zzz (MiaoTony 🐱)
    #今天又看了啥 #security
    io_uring ZCRX Freelist LPE — 从 u32 到 root -- ze3tar
    https://ze3tar.github.io/post-zcrx.html

    漏洞概要
    - Linux 6.15~6.19 中 io_uring 新子系统 ZCRX(零拷贝收包)存在 OOB(越界)堆写入漏洞
    - 漏洞位置:freelist[] 管理空槽索引时,free_count 无上界检查,导致写入 freelist[num_niovs](超尾 4 字节)
    - 写入值:niov 索引,范围 [0, N-1] —— 看似没用,实则致命

    触发条件
    - 需要 CAP_NET_ADMIN 权限
    - 需要支持 ZCRX 的物理网卡(Mellanox ConnectX-6+、Intel E800、NFP 等)
    - 触发方式:网卡 down(SIOCSIFFLAGS ~IFF_UP)→ page_pool_destroy() → 两条路径(ptr_ring drain + scrub loop)重复入栈导致 free_count 溢出

    利用链
    1. 选择 area 大小 → 控制 num_niovs → 控制 freelist 所在的 slab cache → 控制相邻对象
    2. 堆喷 msg_msg(kmalloc-128)→ 让 freelist 与 msg_msg 相邻
    3. 触发 OOB → 覆盖相邻 msg_msg 的 m_list.next 低 4 字节
    4. msgrcv 堆读取 → 扫描内核指针 → 破解 KASLR
    5. 写 modprobe_path(通过 /proc/sys/kernel/modprobe)→ 指向恶意脚本
    6. 触发未知 socket 协议call_usermodehelper → 提权为 root

    修复
    - commit 770594e(2026-04-21),在 io_zcrx_return_niov_freelist 中增加 free_count >= num_niovs 检查
    - 尚未合入任何 stable 分支,仍在路上的内核均有风险

    PoCs 已公开
    - zcrx_crash.c — 纯 OOB 触发验证
    - zcrx_lpe.c — 完整 LPE 利用链(KASLR + modprobe_path + SUID bash)


    一句话:io_uring 新版 ZCRX 没做边界检查,网卡 down 时重复入栈写穿 slab,一个 0~31 的小整数一路打到 root。 🔥

    需要高端网卡,散了散了

  3. Forwarded from 🐱MiaoTony's Box | 困困困 zzz (MiaoTony 🐱)
    #security #CVE #Android
    危险!Android 无线调试认证被绕过:0 点击获取 ADB Shell
    Android ADB 曝出认证绕过高危漏洞(CVE-2026-0073,CVSS 3.1:8.8),攻击者通过构造特定算法的 TLS 证书,可绕过主机 RSA 密钥配对校验,直接获取目标设备的 Shell 权限。
    漏洞触发前置条件:
    - 设备开启 Developer options 和 Wireless debugging 或暴露 ADB TCP 服务。
    - 设备/data/misc/adb/adb_keys文件包含至少一个先前配对的 RSA ADB 主机密钥。
    - 攻击者能够访问该 ADB TCP 端口,例如处于同一局域网。

    漏洞描述:
    CVE-2026-0073 是 Android adbd 无线调试 / ADB-over-TCP 认证绕过漏洞。漏洞根因在 packages/modules/adb/daemon/auth.cpp 的 adbd_tls_verify_cert():adbd 会将 TLS 客户端证书公钥与 /data/misc/adb/adb_keys 中保存的 RSA 主机公钥进行比较,但代码使用 if (EVP_PKEY_cmp(...)) 判断认证结果。

    EVP_PKEY_cmp() 返回 1 才表示匹配,返回 0 表示不匹配,返回 -1 表示密钥类型不同;由于 -1 在 C/C++ 中也为 true,攻击者提交 EC/Ed25519 等非 RSA 证书时,RSA vs 非 RSA 的比较失败会被误判为认证成功,从而绕过 ADB 主机认证并获得 Shell 用户权限。
    https://mp.weixin.qq.com/s/Axi6XZlFmiihXcARsPDwUw

  5. Forwarded from 🐱MiaoTony's Box | 困困困 zzz (MiaoTony 🐱)
    #今天又看了啥 #CVE #security
    https://copy.fail/
    CVE-2026-31431

    Copy Fail 是一个极其严重的 Linux 内核本地提权(LPE)漏洞,编号 CVE-2026-31431

    要点

    - 🎯 纯逻辑漏洞,无需 race condition,无需内核偏移,一次成功
    - 📦 仅 732 字节 的 Python 脚本(stdlib only),在所有主流 Linux 发行版上通用
    - 影响 2017 年以来 构建的所有 Linux 内核,潜伏近十年
    - 🔬 漏洞链:authenesn 逻辑 bug → AF_ALG(内核加密 API)→ splice()4 字节 page-cache 写入,直接修改 setuid 二进制的内存页
    - 🔓 任何本地普通用户 → 瞬间 root
    - 🐳 容器逃逸、跨租户提权、CI runner 沦陷

    影响面

    | 场景 | 风险 |
    |------|------|
    | 多租户 Linux 主机 | 🔴 任何用户变 root |
    | Kubernetes / 容器集群 | 🔴 跨容器/跨租户 |
    | CI runners (GitHub Actions 自托管等) | 🔴 PR 提权到 runner root |
    | 云 SaaS 运行用户代码 | 🟡 租户变宿主 root |
    | 普通单租户服务器 | 🟢 需配合其他入口 |
    | 个人笔记本 | 🟢 已有本地访问后提权 |


    缓解措施

    1. 更新内核 — 主线 commit a664bf3d603d(回滚 2017 年的 in-place 优化)
    2. 临时缓解 — 禁用 algif_aead 模块:
       
       echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
   rmmod algif_aead 2>/dev/null || true

       不影响 dm-crypt/LUKS、SSH、IPsec、OpenSSL 默认配置等绝大多数常用功能

  6. Forwarded from 层叠 - The Cascading
    🔴 PackageKit 本地提权漏洞;请尽快升级至 1.3.5。

    - 修复版本 1.3.5 在约两小时前发布。
    - PackageKit 是许多包管理器的后端,在 Ubuntu、Debian、Fedora 等发行版上被广泛应用;最早受影响版本 1.0.2 版本在 12 年前发布。
    - 鉴于以上情况,目前大部分正在运行的 Linux 系统都受此漏洞影响,建议系统管理员在更新版本于发行版发布后及时更新。

    CVSS: 8.8/10
    Affect: [1.0.2, 1.3.4]

    - GHSA-f55j-vvr9-69xv
    - github.security.telekom.com/~

    linksrc: https://t.me/bupt_moe/2712

    #Security #PackageKit
    GitHub
    Race condition vulnerability leads to arbitrary package installation as root
    Race condition vulnerability leads to arbitrary package installation as root
    This report explains a vulnerability within PackageKit, that allows unprivileged user installing packages as root and thus leads to a local privilege escalation.

    All PackageKit versions between ...

  7. Forwarded from 层叠 - The Cascading
    🔴 Apifox 被投毒。用户数据可能泄漏。

    - Apifox 是一个 API 管理与测试平台。
    - Apifox 的用户统计代码 CDN 在 3/4 后被投毒 [2],现已恢复至原来版本。
    - 根据文章分析 (LLM?),payload 会收集用户设备上的敏感信息及 Apifox 云服务凭据等,也可能造成其它种类的危害。
    - 托管 payload 的 C2 服务域名为 apifox.it.com;现已停止解析。

    rce.moe/~

    1. web.archive.org/~

    linksrc: https://t.me/renbaoshuo/1058

    #Security #Apifox #SupplyChain

  8. Forwarded from bupt.moe
    #security
    NodeJS 2026.3 安全更新

    CVE-2026-21637 没修好,漏了一个 SNICallback

    CVE-2026-21710
    当HTTP头含有 __proto__ 时,访问 req.headersDistinct 会导致Node进程崩溃,产生DoS。

    CVE-2026-21711
    Unix Domain Socket 漏了权限检查

    CVE-2026-21712
    url.format() 遇到不正确的国际化域名(IDN)时会崩溃

    CVE-2026-21713
    HMAC 未使用等长时间比较函数

    CVE-2026-21714
    HTTP2 WINDOW_UPDATE 导致内存泄露

    CVE-2026-21717
    V8 字符串哈希函数会导致数值字符串按照所表示的数值进行哈希,导致可预测的碰撞

    CVE-2026-21715
    fs.realpathSync.native() 有文件系统信息泄露

    CVE-2024-36137 没修干净

  14. Forwarded from bupt.moe
    #security
    NPM debug 包出现大新闻,任何安装/运行了这个包的电脑均应视为已失陷。

    更新:
    多个npm包的作者 Qix- 被钓鱼,npm账号失陷。黑客上传了多个有恶意代码的npm包。具体包列表可以在以下链接查看:https://github.com/debug-js/debug/issues/1005#issuecomment-3266868187

    编者注:考虑到黑客动手的速度之快,可以认为是一次定向的钓鱼攻击。热门包的维护者应该考虑从TOTP转到FIDO2。

  18. https://t.me/bupt_moe/2228
    Telegram
    bupt.moe
    #security
    CVE-2024-7262 & CVE-2024-7263
    WPS 搞的 1.5 click RCE,ver12.2.0.17119 之前
    WPS 有一个很棒棒的功能叫做“轻办公”,原理就是在文档里塞进去一个自定义scheme的链接 ksoqing:// 来拉起指定的exe去下载白名单域名地址的dll并执行。
    但是因为未知的原因,有一个神奇的 JSCefServicePath 参数可以用来执行本地已有的任意dll。这样攻击者就只剩下如何事先获得可预测的地址了。然后金山自己弄了套幽默…

  20. Forwarded from 🐱MiaoTony's Box | 困困困 zzz (MiaoTony 🐱)
    #今天又看了啥 #security
    原来 IDA Pro 9.0 beta 的安装包是 子域名枚举 + .DS_Store 路径泄露出来的路径吗(
    https://fixupx.com/gmhzxy/status/1822871063795315135
    FxTwitter / FixupX
    gmh5225 (@gmhzxy)
    gmh5225 (@gmhzxy)
    这是一个常见的.DS_Store 路径泄露缺陷 @HexRaysSA
    1. 子域名枚举拿到二级域名 http://out5.hex-rays.com
    2. 下载 http://out5.hex-rays.com/.DS_Store 文件
    3. 解密 .DS_Store 获取到相对路径 beta90_6ba923