Forwarded from AIGC
Flatpak 发现了一个安全漏洞 (CVE-2024-42472),该漏洞允许使用持久目录的应用程序访问主机文件。受影响的版本包括所有低于 1.14.10 的版本和 1.15.x 低于 1.15.10 的版本。修复版本为 1.14.x 大于等于 1.14.10 和所有大于等于 1.15.10 的版本。
该漏洞允许恶意或被破坏的 Flatpak 应用读写通常无法访问的文件位置,影响完整性和保密性。漏洞的原因是当使用持久目录时,如果源目录被替换为符号链接,应用程序启动时绑定挂载会跟随符号链接,将指向的任何内容挂载到沙箱中。
修复包括在 Flatpak 1.14.10 和 1.15.10 中,并需要添加新的 --bind-fd 选项到 bubblewrap(Flatpak 使用的沙箱组件)以避免时间检查/时间使用竞争条件。如果难以修补 bubblewrap,可以仅应用补丁“不跟随符号链接挂载持久目录”,并避免同时运行同一不受信任应用的两个实例。
详情请参阅:https://github.com/flatpak/flatpak/security/advisories/GHSA-7hgv-f2j8-xw87
标签:#Linux #Security #Flatpak
#AIGC
该漏洞允许恶意或被破坏的 Flatpak 应用读写通常无法访问的文件位置,影响完整性和保密性。漏洞的原因是当使用持久目录时,如果源目录被替换为符号链接,应用程序启动时绑定挂载会跟随符号链接,将指向的任何内容挂载到沙箱中。
修复包括在 Flatpak 1.14.10 和 1.15.10 中,并需要添加新的 --bind-fd 选项到 bubblewrap(Flatpak 使用的沙箱组件)以避免时间检查/时间使用竞争条件。如果难以修补 bubblewrap,可以仅应用补丁“不跟随符号链接挂载持久目录”,并避免同时运行同一不受信任应用的两个实例。
详情请参阅:https://github.com/flatpak/flatpak/security/advisories/GHSA-7hgv-f2j8-xw87
标签:#Linux #Security #Flatpak
#AIGC
准备了两个新形式的 post,内容完全由 LLM 生成,想看一下各位评价如何(
如果还行的话可能可以做成半自动的(
如果还行的话可能可以做成半自动的(
Forwarded from Garyの梦呓
Telegraph
南京17岁学生带头组织近千人“反卷联盟”,引公安警告
整理编辑/Iris 近日,南京市,一名17岁的重点中学学生因不满学校提前开学补课,组建了近千人“反卷联盟”,吸引多所学校学生参与,引发社会广泛关注和讨论。公安部门介入后,该学生认识到错误并承诺解散相关群组,而此事件所涉及的教育内卷及学生学习与休息平衡问题,成为大众探讨焦点。 2024年7月中下旬,南京市的公办学校在补课问题上基本按兵不动。然而,在7月底,原计划于8月10号开学的扬子中学等众多中等学校,却传来了将在8月4号提前一周开学补课的小道消息。 7月31日,一名17岁的南京重点中学学生,在获得众多学…
Forwarded from AIGC
CPython zipfile 模块高危漏洞 CVE-2024-8088
CPython 的
此漏洞的根本原因在于
该漏洞已被修复,建议更新 CPython 并加强输入验证,以防止潜在的拒绝服务攻击。
原文链接: https://www.openwall.com/lists/oss-security/2024/08/22/1 https://www.openwall.com/lists/oss-security/2024/08/22/4
标签: #CPython #漏洞 #zipfile #无限循环
#AIGC
CPython 的
zipfile 模块存在一个高危漏洞,编号为 CVE-2024-8088。该漏洞会导致在处理恶意构造的 zip 档案时,程序陷入无限循环。具体来说,当使用 zipfile.Path 类及其方法(如 namelist()`、`iterdir()`、`extractall() 等)遍历 zip 档案条目名称时,可能会触发无限循环。此漏洞的根本原因在于
zipfile._path._ancestry() 方法中的路径处理不当。具体来说,代码中的 path.rstrip(posixpath.sep) 和 while 循环条件未正确处理路径,导致无限循环。例如,`posixpath.split("//") 返回 ("//", ""),而 "//" != posixpath.sep` 导致循环无法退出。该漏洞已被修复,建议更新 CPython 并加强输入验证,以防止潜在的拒绝服务攻击。
原文链接: https://www.openwall.com/lists/oss-security/2024/08/22/1 https://www.openwall.com/lists/oss-security/2024/08/22/4
标签: #CPython #漏洞 #zipfile #无限循环
#AIGC
咕 Billchen 咕 |
CPython zipfile 模块高危漏洞 CVE-2024-8088 CPython 的 zipfile 模块存在一个高危漏洞,编号为 CVE-2024-8088。该漏洞会导致在处理恶意构造的 zip 档案时,程序陷入无限循环。具体来说,当使用 zipfile.Path 类及其方法(如 namelist()`、`iterdir()`、`extractall() 等)遍历 zip 档案条目名称时,可能会触发无限循环。 此漏洞的根本原因在于 zipfile._path._ancestry() 方法中的…
Telegram
咕 Billchen 咕 |
准备了两个新形式的 post,内容完全由 LLM 生成,想看一下各位评价如何(
如果还行的话可能可以做成半自动的(
如果还行的话可能可以做成半自动的(
Forwarded from &'a ::rynco::UntitledChannel (Rynco Maekawa)
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from 竹新社
日本防卫省称,一架中国运-9军机26日一度侵入长崎县五岛市男女群岛近海领空。自卫队战斗机紧急起飞并予以警告,该军机现已离开日本领空。
防卫省表示中国军机侵入日本领空尚属首次,正在分析目的。
此前的7月4日,日本海上自卫队凉月号护卫舰驶入浙江省附近中国领海,监视中国舰艇进行的导弹演习。中方作出驶离领海的要求,但凉月号未有理会警告,在距离浙江沿海12海里(约22公里)的范围航行约20分钟。
(NHK)
防卫省表示中国军机侵入日本领空尚属首次,正在分析目的。
此前的7月4日,日本海上自卫队凉月号护卫舰驶入浙江省附近中国领海,监视中国舰艇进行的导弹演习。中方作出驶离领海的要求,但凉月号未有理会警告,在距离浙江沿海12海里(约22公里)的范围航行约20分钟。
(NHK)
The North Korean authorities saw ideological subversion in the smiling faces of North Korean athletes. The Sports Ministry will conduct an "ideological examination" and decide how to punish them. (via nexta_tv)
https://fixupx.com/nexta_tv/status/1828115543787815158
https://fixupx.com/nexta_tv/status/1828115543787815158
FxTwitter / FixupX
NEXTA (@nexta_tv)
North Korea punishes Olympic athletes for selfies with South Korean rivals
The North Korean authorities saw ideological subversion in the smiling faces of North Korean athletes. The Sports Ministry will conduct an "ideological examination" and decide how…
The North Korean authorities saw ideological subversion in the smiling faces of North Korean athletes. The Sports Ministry will conduct an "ideological examination" and decide how…
Forwarded from 财经慢报
Telegram 创始人 Durov 被捕当日,原计划与法国总统马克龙共进晚餐
据法国《Canard Chain de l'Elysée》的消息来源,Telegram 创始人 Durov 向警方表示,在他被捕当天,他本应与法国总统马克龙共进晚餐。
巴黎官方否认了这一消息。法国政治家弗洛里安・菲利波特对马克龙的说法表示怀疑,并在社交媒体 X 上表示,总统完全有可能进行这样的欺骗来完成「主人的任务」。他还要求马克龙对此作出解释。
此前,俄罗斯外交部长拉夫罗夫表示,俄罗斯关于杜罗夫在法国的访问请求正在审查中。
据法国《Canard Chain de l'Elysée》的消息来源,Telegram 创始人 Durov 向警方表示,在他被捕当天,他本应与法国总统马克龙共进晚餐。
巴黎官方否认了这一消息。法国政治家弗洛里安・菲利波特对马克龙的说法表示怀疑,并在社交媒体 X 上表示,总统完全有可能进行这样的欺骗来完成「主人的任务」。他还要求马克龙对此作出解释。
此前,俄罗斯外交部长拉夫罗夫表示,俄罗斯关于杜罗夫在法国的访问请求正在审查中。