CPython zipfile 模块高危漏洞 CVE-2024-8088

CPython 的 zipfile 模块存在一个高危漏洞，编号为 CVE-2024-8088。该漏洞会导致在处理恶意构造的 zip 档案时，程序陷入无限循环。具体来说，当使用 zipfile.Path 类及其方法（如 namelist()`、`iterdir()`、`extractall() 等）遍历 zip 档案条目名称时，可能会触发无限循环。

此漏洞的根本原因在于 zipfile._path._ancestry() 方法中的路径处理不当。具体来说，代码中的 path.rstrip(posixpath.sep) 和 while 循环条件未正确处理路径，导致无限循环。例如，`posixpath.split("//") 返回 ("//", "")，而 "//" != posixpath.sep` 导致循环无法退出。

该漏洞已被修复，建议更新 CPython 并加强输入验证，以防止潜在的拒绝服务攻击。

原文链接： https://www.openwall.com/lists/oss-security/2024/08/22/1 https://www.openwall.com/lists/oss-security/2024/08/22/4

标签： #CPython #漏洞 #zipfile #无限循环
#AIGC

IBM 关闭中国研发部门，涉及员工数量超过1000人

https://www.yicai.com/news/102246580.html

日本防卫省称，一架中国运-9军机26日一度侵入长崎县五岛市男女群岛近海领空。自卫队战斗机紧急起飞并予以警告，该军机现已离开日本领空。
防卫省表示中国军机侵入日本领空尚属首次，正在分析目的。
此前的7月4日，日本海上自卫队凉月号护卫舰驶入浙江省附近中国领海，监视中国舰艇进行的导弹演习。中方作出驶离领海的要求，但凉月号未有理会警告，在距离浙江沿海12海里（约22公里）的范围航行约20分钟。
（NHK）

The North Korean authorities saw ideological subversion in the smiling faces of North Korean athletes. The Sports Ministry will conduct an "ideological examination" and decide how to punish them. (via nexta_tv)

https://fixupx.com/nexta_tv/status/1828115543787815158

Telegram 创始人 Durov 被捕当日，原计划与法国总统马克龙共进晚餐
据法国《Canard Chain de l'Elysée》的消息来源，Telegram 创始人 Durov 向警方表示，在他被捕当天，他本应与法国总统马克龙共进晚餐。
巴黎官方否认了这一消息。法国政治家弗洛里安・菲利波特对马克龙的说法表示怀疑，并在社交媒体 X 上表示，总统完全有可能进行这样的欺骗来完成「主人的任务」。他还要求马克龙对此作出解释。
此前，俄罗斯外交部长拉夫罗夫表示，俄罗斯关于杜罗夫在法国的访问请求正在审查中。

我是来结束这个 Telegram 的

Microsoft donates the Mono Project to the Wine team (🔥 Score: 168+ in 45 minutes)

Link: https://readhacker.news/s/6dAjL
Comments: https://readhacker.news/c/6dAjL

Telegram 创始人 Pavel Durov 暂被释放，之后将接受法庭的初步审讯

https://edition.cnn.com/2024/08/28/tech/pavel-durov-telegram-custody-released-intl/index.html

本频道的 "Sign messages" 已关。

已恢复
本频道的 Linked Group 已关。
加入链接为 https://www.tg-me.com/+[REDACTED]
仅眼熟通过

已恢复

韩国黑客利用 WPS Office 0day 部署恶意程序

2024-08-29 14:53 by 阿尔法计划

韩国黑客组织 APT-C-60 利用了 Windows 版 WPS Office 的一个 0day 在目标设备上安装后门 SpyGlace。WPS 是金山开发的办公软件，在全球有逾 5 亿活跃用户。黑客利用的 0day 被称为 CVE-2024-7262，影响版本从 12.2.0.13110（2023 年 8 月）到 12.1.0.16412（2024 年 3 月）。金山在 3 月悄悄修复了漏洞，但没有向客户披露该漏洞正被活跃利用，促使安全公司 ESET 就该漏洞公布了一份详细报告。CVE-2024-7262 与软件如何处理自定义协议处理器的方式相关，其中 ksoqing:// 允许文档中嵌入的特制 URL 执行外部应用。APT-C-60 创建了 MHTML 文件，嵌入了隐藏在诱饵图像下的恶意超链接，引诱受害者点击图像触发漏洞。金山修复 CVE-2024-7262 的补丁并不完整，ESET 研究人员发现了第二个任意代码执行的高危漏洞 CVE-2024-7263。金山在 5 月修复了新的漏洞。为修复这两个漏洞 WPS 用户需要尽可能快的升级到 v12.2.0.17119 及以上版本。

https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-exploited-wps-office-zero-day-to-deploy-spyglace-malware/
https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/

#安全

电报迪拜办事处已关闭 公司员工不再使用

Telegram 迪拜办公室已关闭，该通讯软件团队不再使用该办事处。事实证明，帕维尔·杜罗夫将阿联酋的办公地址作为幌子。无论是他本人还是他的团队，从未在该商务中心大厦工作过，尽管公司在此正式注册。据了解，自租用以来，里面一直空无一物，只有光秃秃的墙壁。既没有家具，也没有工作用的电脑。这个场所很可能只是为了遵守阿联酋的法律而租用的，企业注册必须有法定地址和工作场所。据中介透露，这个200平方米的工作场所年租金大约为1300万卢布。杜罗夫的团队最多有50人，在老板被捕后，他们全都进入了静默模式。

—— 塔斯社、Mash

Elastic 添加 AGPL 作为授权选项之一；这为用户在 ELv2 及 SSPL 之外提供了新的选项。

elastic.co/~

#OpenSource #Elastic

评价是：
[某本台猫猫] 在 Redis 转sspl和另一个pg数据库叫啥来着转纯企业版之后，Elastic co 终于干人事了