Samba একটি অত্যন্ত বড় দুর্বলতা, CVE-2021-44142, যা শুধুমাত্র নতুন রিলিজে প্যাচযুক্ত ছিল 4.13.17, 4.14.12, পাশাপাশি 4.15.5। Trendmicro এ গবেষকরা দ্বারা পাওয়া যায়, এই অননুমোদিত RCE বাগ একটি CVSS 9.9 এ মূল্যায়ন করে। সংরক্ষণ করুণাটি হল এটি সক্রিয় করার জন্য ফল VFS মডিউলটি সক্ষম করা, যা ম্যাকস ক্লায়েন্টের পাশাপাশি সার্ভার ইন্টারপে সমর্থন করার জন্য ব্যবহার করা হয়। যদি সক্ষম থাকে, ডিফল্ট সেটিংস দুর্বল। আক্রমণগুলি এখনও বন্যায় দেখা যায় নি, তবে এগিয়ে যান এবং সেইসাথে এগিয়ে যান, হিসাবে POC কোডটি সম্ভবত হ্রাস পাবে।
Wormhole নিচে Crypto
Cryptocurencies এবং WEB3 হিসাবে একটি উল্লেখযোগ্য বিক্রয় বিন্দু বুদ্ধিমান চুক্তি, বিট কম্পিউটার প্রোগ্রাম সরাসরি ব্লকচেন উপর চলমান যে হস্তক্ষেপ ছাড়া, হস্তক্ষেপ ছাড়া, দ্রুত তহবিল স্থানান্তর করতে পারেন। এটা দ্রুত শেষ হচ্ছে যে গ্লাসিং ড্রব্যাক এই কম্পিউটার প্রোগ্রাম যা প্রায় দ্রুত অর্থ প্রদান করতে পারে, হস্তক্ষেপ ব্যতীত। এই সপ্তাহে বিজ্ঞানের চুক্তির আরও একটি উদাহরণ ছিল, যখন একটি আক্রমণকারী ওয়ার্মহোল সেতুর মাধ্যমে ইথারের 326 মিলিয়ন ডলারের মূল্যের চুরি করেছিল। একটি Cryptocurrency সেতু একটি সেবা যা দুটি ভিন্ন blockchains উপর সংযুক্ত জ্ঞান চুক্তি হিসাবে বিদ্যমান। এই চুক্তিগুলি আপনাকে একপাশে একটি মুদ্রা রেখে দেয়, পাশাপাশি অন্যটিকে এটিকে পৃথক করে তুলতে পারে, একটি ভিন্ন ব্লকচেনে মুদ্রা হস্তান্তর করে। আমাদের সাহায্য করার জন্য কী ভুল হয়েছে তা বোঝার জন্য [কেলভিন ফাইকিটার], একইভাবে [স্মার্টটনট্র্যাক্টস] হিসাবে সঠিকভাবে বোঝা যায়।
সেতুটি একটি স্থানান্তর করে তোলে, টোকেনগুলি এক ব্লকচেইনে জ্ঞানী চুক্তিতে জমা হয়, সেইসাথে একটি স্থানান্তর বার্তা উত্পাদিত হয়। এই বার্তাটি একটি ডিজিটাল পরিদর্শন অ্যাকাউন্ট চেকের মতো, যা আপনি সেতুর অন্য দিকে নগদ নগদে যান। সেতুর অন্য প্রান্তটি “চেক” এর স্বাক্ষরটি যাচাই করে, সেইসাথে যাই হোক না কেন ম্যাচ, আপনার তহবিলগুলি দেখায়। এই বিষয়টি হল যে সেতুর একপাশে একটি ব্যক্তি, যাচাই রুটিনটি একটি ডামি রুটিন দ্বারা প্রতিস্থাপিত হতে পারে, পাশাপাশি কোডটি এটি ধরতে পারে না।
এটি একটি গরম পরিদর্শন স্ক্যাম। আক্রমণকারী একটি স্পুফেড স্থানান্তর বার্তা উত্পাদিত, একটি বোগুস যাচাই রুটিন দেওয়া, পাশাপাশি সেতু এটি জেনুইন হিসাবে গ্রহণ। অর্থের অধিকাংশই সেতু জুড়ে স্থানান্তরিত হয়, যেখানে অন্যান্য ব্যবহারকারীর বৈধ টোকেনগুলি অনুষ্ঠিত হয়, সেইসাথে আক্রমণকারীটি 90,000 টি টোকেনের সাথে চলে যায়।
9.8 সিভি যে ছিল না
নিরাপত্তা এবং নিরাপত্তা রিপোর্ট সঙ্গে ডিলিং চ্যালেঞ্জিং হতে পারে। উদাহরণস্বরূপ, ইংরেজী প্রত্যেকেরই প্রথম ভাষা নয়, তাই যখন একটি ইমেল বানান এবং ব্যাকরণ ভুলের সাথে পাওয়া যায়, তখন এটি প্রত্যাখ্যান করা সহজ হবে, তবে কিছু ক্ষেত্রেই সেই ইমেলগুলি সত্যিই আপনাকে একটি গুরুতর সমস্যা সম্পর্কে জানানো হয়। পাশাপাশি কিছু ক্ষেত্রে আপনি একটি প্রতিবেদন পাবেন কারণ কেউ প্রথমবার Chrome এর devtools খুঁজে পেয়েছেন, পাশাপাশি সেইসাথে স্বীকার করে না যে আঞ্চলিক পরিবর্তনগুলি অন্য সকলের কাছে সেবা করা হয় না।
CVE-2022-0329 যারা এক ছিল। উদ্বেগের মধ্যে বান্ডিল পাইথন লাইব্রেরি, লোগুরু, যা “পাইথন লগিং তৈরি (নির্বোধভাবে) সহজ” boasts হয়। একটি লগিং লাইব্রেরিতে একটি প্রধান সিভি? ওয়েবটি অল্প সময়ের জন্য একত্রিতভাবে একত্রিত করে। তারপরে অনেক বেশি লোক দুর্বলতা প্রতিবেদন পাশাপাশি বাগ রিপোর্টের পাশাপাশি সমস্যাটির বৈধতার বিষয়ে প্রশ্নটি কাস্টিং করতে শুরু করে। তাই অনেক তাই, যে cve প্রত্যাহার করা হয়েছে। ঠিক কিভাবে একটি অ-বাগ এত উচ্চ নিরাপত্তা এবং নিরাপত্তা সমস্যা হিসাবে রেট করা হয়েছে, যে Github এমনকি স্বয়ংক্রিয়ভাবে প্রেরণ করা ছিল?
তাত্ত্বিক দুর্বলতা একটি নির্জনতা সমস্যা ছিল, যেখানে লোগুরের নির্ভরতা হিসাবে অন্তর্ভুক্ত, পিকল লাইব্রেরি, নিরাপদভাবে অবিশ্বাস্য তথ্যকে হতাশ করে না। ওটি একটি বৈধ সমস্যা অবশ্য রিপোর্ট loguru অনির্ভরযোগ্য তথ্য একটি বিপজ্জনক ভাবে deserialized করা সক্ষম করবে ঠিক কিভাবে প্রদর্শন করতে ব্যর্থ হয়েছে।
সেখানে খেলার সময়ে একটি ধারণা এখানে, “বায়ুরোধী মেঝে ছাদ বা পোতাদির পাটানের যে ফাঁক বা ফোকর রাখা হয়” আছে। কোডবেস বা সিস্টেম কোন প্রকার, একটি বিন্দু যেখানে সাধিত প্রোগ্রাম ডেটা কোড এক্সিকিউশন হতে পারে হবে। যখন করণ যে লাঞ্ছনা চাহিদা ইতিমধ্যে কর্মসূচি নিয়ে পরিচালনা থাকার বায়ুরোধী মেঝে ছাদ বা পোতাদির পাটানের যে ফাঁক বা ফোকর রাখা হয় পেছনে। এই ক্ষেত্রে, আপনি আইটেম যে জরান deserialize করবে বিকাশ করতে পারেন, আপনি ইতিমধ্যে নির্বিচারে কোড এক্সিকিউশন আছে। যে তবে যে এর কোড শক্ত, একটি দুর্বলতা মেরামত না রাষ্ট্র না এটা যেমন একটি দৃষ্টান্ত মেরামত করার উপযুক্ত কখনই রয়েছে।
যে যেখানে এই পাগল গিয়েছিলাম বন্ধ আছে। [Delgan], loguru পিছনে ডিজাইনার রাজী ছিল এই একটি সত্য দুর্বলতার ছিল না, যদিও তিনি ধারণা প্রায় শক্ত কিছু কোড কি আকাঙ্ক্ষিত, তাই মূল দুর্বলতা প্রতিবেদন গৃহীত হিসাবে চিহ্নিত করা হয়েছে। সচল এই স্বয়ংক্রিয় যন্ত্রপাতি সেট, সেইসাথে একটি জন্য CVE জারি করা হয়। যে জন্য CVE সংখ্যার একটি সাদাসিধা comprehending, সম্ভবত একইভাবে একটি স্বয়ংক্রিয় কর্ম উপর ভিত্তি করে অবিশ্বাস্যভাবে গুরুতর হিসাবে সেট করা হয়েছে। এই স্বয়ংক্রিয় উন্মত্ততা একটি গিটহাব উপদেষ্টা সমস্ত পদ্ধতি অব্যাহত, আগে কারো সর্বশেষে ভাল আউট-অফ-নিয়ন্ত্রণ automato করার ক্ষমতা কাটা যেমন হিসাবে ধাপ ধাপএন।
উইন্ডোজ EOP POC.
জানুয়ারিতে, মাইক্রোসফ্ট প্যাচযুক্ত CVE-2022-21882, উইন্ডোজের Win32 কোডে বিশেষাধিকারের একটি বৃদ্ধি। আপনি যে কৌতুক যাক না, এটি উইন্ডোজের 64-বিট সংস্করণেও উপস্থিত। আপনি যদি আপনার আপডেটের পিছনে থাকেন তবে আপনি ব্যস্ত পেতে চাইতে পারেন, কারণ একটি প্রমাণ-এর ধারণাটি এখন এই বাগটির জন্য ছেড়ে দেওয়া হয়েছে। এটি একটি প্যাচ বাইপাস হিসাবে রিপোর্ট করা হয়েছে, এটি মূলত একইভাবে CVE-2021-1732 হিসাবে সঠিকভাবে অন্তর্নিহিত সমস্যা তৈরি করেছে।
QNAP একটি আপডেট ধাক্কা প্রয়োজন
এবং ব্যক্তিদের ticked হয়
QNAP পাশাপাশি অন্যান্য NAS প্রযোজকদের তাদের নিরাপত্তা এবং সুরক্ষা গেমটি বাড়ানোর জন্য প্রয়োজন হয়েছে, কারণ এই শৈলী গ্যাজেটগুলি এখনও Ransomware Theveves এর জন্য একটি আরো আকর্ষণীয় লক্ষ্য অর্জন করেছে। তাই যখন QNAP “deadbolt” ম্যালওয়্যার প্রচারাভিযানে শোষণ করা হয় এমন একটি ত্রুটি খুঁজে পায়, তারা স্বয়ংক্রিয় আপডেট সক্ষম থাকা প্রত্যেক ব্যক্তির কাছে আপডেটের একটি শক্তি ধাক্কা দেয়। এটি বোঝায় যে যেখানে আপডেটগুলি সাধারণত ইনস্টল করবে, পাশাপাশি পুনরায় বুট করার জন্য অনুরোধের অনুরোধ, এটি স্বতঃস্ফূর্তভাবে পুনরায় বুট করে, সম্ভবত সবচেয়ে খারাপ ক্ষেত্রে ডেটা ক্ষতি ট্রিগার করে।
QNAP বিষয়টির উপর একটি Reddit থ্রেডে তাদের চিন্তাভাবনাগুলি সরবরাহ করেছে, পাশাপাশি এটি কীভাবে কার্যকরভাবে কাজ করে সে সম্পর্কে কিছু বিতর্ক রয়েছে। অন্তত একজন ব্যক্তি বরং এই ফাংশনটি নিষ্ক্রিয় করা হয়েছে, সেইসাথে আপডেটটি এখনও স্বয়ংক্রিয়ভাবে ইনস্টল করা হয়েছে। কি হচ্ছে?
একটি সরকারী উত্তর আছে। একটি পূর্ববর্তী আপডেটে, একটি নতুন ফাংশন যোগ করা হয়েছে, প্রস্তাবিত সংস্করণ। এটি একটি স্বয়ংক্রিয় আপডেট হিসাবে কাজ করে, তবে শুধুমাত্র যখন একটি প্রধান সমস্যা থাকে। এটি এমন একটি সেটিং যা প্রয়োজনীয় push পৃষ্ঠায় সক্ষম করে, সেইসাথে এটি ডিফল্ট করে। (ন্যায্যতার মধ্যে, এটি প্যাচ নোটে ছিল।) এর মতো যন্ত্রপাতিগুলিতে আপডেট পরিচালনা করা সবসময় কঠিন, পাশাপাশি ransomware এর looming ঝুঁকি এটি এমনকি স্টিকার করে তোলে।
সুতরাং আপনি কি মনে করেন, কিউএনএপি শুধু গ্রাহকদের যত্ন নিচ্ছেন? অথবা এটি অর্থুর ডেন্টের হাউসের ক্ষতির নোটিশের নোটিশের মতই, একটি লকড ফাইলিং কাপবোর্ডের নীচে প্রকাশিত একটি দরিদ্র দস্যুতে আটকে থাকা দরজায় একটি ইঙ্গিত দিয়ে বলা হয়েছে? আসুন আমরা মন্তব্যগুলিতে বুঝতে পারি, অথবা যদি আপনার জিনিসটি না থাকে তবে নতুন চ্যানেল কলামে নিবেদিত!