链闻 ChainNews 诚邀读者合营监督,果断根绝各类代币发行、投资推荐及虚拟泉币炒作信息。告发

安然

安然消息快讯文章, 安然深度文章, 安然快讯, 区块链安然, 安然是甚么, 安然简介, 安然解读, 安然项目, 三分钟懂得安然, 秒懂安然, 若何评价安然, 安然怎样样, 安然开创人, 安然雇用, 安然融资, 安然价格, 安然技巧, 安然社区, 安然服装论坛t.vhao.net, 安然浏览器, 安然排名, 安然白皮书, 安然本质, 安然意义, 安然代码, 安然游戏, 安然甚么意思, 安然进修, 安然培训, 安然教程, 安然投资, 安然赚钱, 安然安然, 安然马脚

·

成都链安:Apache Tomcat 长途代码履行马脚预警(CVE-2020-9484)

链闻消息,成都链安威逼谍报体系预警,Apache Tomcat 长途代码履行存在马脚,部分交易所依然在应用此 web 办事器,黑客可应用此马脚停止犯法入侵,我们建议应用相干软件的交易所及时自查并停止修复。马脚威逼:高。受影响版本:Apache Tomcat 10.0.0-M1 至 10.0.0-M1、Apache Tomcat 9.0.0.M1 至 9.0.34、Apache Tomcat 8.5.0 至 8.5.54、Apache Tomcat 7.0.0 至 7.0.103。马脚描述:1) 进击者可以经过过程此马脚控制办事器和计算机上的文件;2) 办事器将会被设备 FileStore 和 PersistenceManager;3) PersistenceManager 设备有 sessionAttributeValueClassNameFilter =「 null」(除非应用 SecurityManager,不然为默许值)或不严谨的过滤器,许可进击者履行反序列化操作;4) 进击者知道从 FileStore 应用的存储地位到进击者可以控制的文件的相对文件途径;然后,应用特别请求,进击者将可以或许在其控制下经过过程反序列化文件来触发长途代码履行。(进击成功必须满足以上四个条件) 成都链安安然团队建议根据官方供给的修复筹划停止修复,修复筹划以下:Apache Tomcat 10.0.0-M1 至 10.0.0-M1 版本建议升级到 Apache Tomcat 10.0.0-M5 或更高版本;Apache Tomcat 9.0.0.M1 至 9.0.34 版本建议升级到 Apache Tomcat 9.0.35 或更高版本;Apache Tomcat 8.5.0 至 8.5.54 版本建议升级到 Apache Tomcat 8.5.55 或更高版本;Apache Tomcat 7.0.0 至 7.0.103 版本建议升级到 Apache Tomcat 7.0.104 或更高版本。用户也能够经过过程 sessionAttributeValueClassNameFilter 恰当的值设备 PersistenceManager,以确保仅对应用法式榜样供给的属性停止序列化和反序列化。
·
·
·

Fastjson 全版本长途代码履行马脚暴光,降维发布预警

据降维安然实验室(johnwick.io) 报导,Fastjson <=1.2.68 全版本存在反序列化马脚,应用该马脚,黑客可长途在办事器上履行随便任性代码直接获得办事器权限。此马脚异常风险,降维安然实验室建议应用了该 java 库的相干交易所及企业及时将 Fastjson 升级至 1.2.68 版本、翻开 SafeMode、并持续存眷 fastjson 官网等待 1.2.69 版本的更新并急速升级以防止被进击。

DDEX:提示用户辨认冒用 DDEX 相干名义停止合约交易等虚假信息

链闻消息,去中间化交易所 DDEX 发布告诉布告表示,有人冒用 DDEX 相干名义,经过过程网虚假网站 http://real.ddexbank.cn 、APP、邮箱 ddex1188@163.com, 微信群等渠道假装官方发布虚假信息,封禁用户资金, 展开合约交易等。DDEX 声明表示, 从未经过过程网站、APP、微信等任何渠道,也从未授权任何实体或小我,以 DDEX 相干名义停止过任何此类活动,并提示公众切勿轻信此类虚假信息,以避免形成资金损掉。
·

Electric Capital 提出 DeFi 产品风险管理流程框架 Guarded Launch

链闻消息,加密资产管理公司 Electric Capital 提出一种启动 DeFi 新产品时可应用的流程框架 Guarded Launch,许可 DeFi 新项目以最小开辟本钱安排具有周全风控的早期版本。根据 Electric Capital 的简介,这类「受保护的启动」(Guarded Launch)启动形式将安排新合约,这些合约将带有一系列限制性的参数集,许可用户在无限范围内与产品停止交互,可最大年夜化增添添加其他代码的风险,包含资产限制、资产类型限制、用户数量限制、应用限制(比如经过过程限制交易范围、限制逐日交易量、限制单个帐户或限制交易速度等来增长应用磨擦)、可组合性限制(经过过程在核心操作中引入时间锁功能限制合约被用于组合的原子交易中的功能)、保险比率限制、LTV 比率限制、主动暂缓交易机制(实施一种自动机制可在极端情况下暂停体系)、紧急关停(设立一种实施,许可经过过程管理关停体系中的新活动并许可用户收回资产)。Electric Capital 称,可为 Guarded Launches 框架创建可构建智能合约库和办事的基元,从而供给可复用的组件以完成这些控制,并将其看作是一种去风险即办事(DeRisking as a Service)形式。
·
·
·

慢雾再次白色提示:发明 ETH 新型假充值的新进击手段

昨日慢雾安然团队首发了 ETH 新型假充值进击 revert 的手段,慢雾安然团队持续停止深刻地研究,发清楚明了应用 Out of gas 的进击手段。慢雾安然团队建议:如没有掌握成功修复可先临时暂停来自合约地址的充值请求。针对应用合约停止 ETH 假充值时,除 revert 和 Out of gas 的手段外,不清除将来有新的手段,慢雾安然团队会持续保持存眷和研究。同时须要留意,类以太坊的公链币种也能够存在类似的风险,请当心。

慢雾白色提示: 当心 ETH 新型假充值,已发明在野 ETH 假充值进击

慢雾安然团队监测,已发明存在 ETH 假充值对交易所进击的在野应用,慢雾安然团队决定地下修复筹划,请交易所或钱包及时排查 ETH 入账逻辑,须要时接洽慢雾安然团队停止检测,防止资金损掉。慢雾安然团队建议:如没有掌握成功修复可先临时暂停来自合约地址的充值请求。再停止以下修复操作:1、针对合约 ETH 充值时,须要断定内联交易中能否有 revert 的交易,假设存在 revert 的交易,则拒绝入账;2、采取人工入账的方法处理合约入账,确认充值地址到账后才停止人工入账。同时须要留意,类以太坊的公链币种也能够存在类似的风险,请当心。

Trail of Bits 筹划应用零知识证明重塑马脚表露流程

链闻消息,安然研究机构 Trail of Bits 宣布,正在与约翰霍普金斯大年夜学的 Matthew Green 协作,应用零知识证明(zero-knowledge proofs)技巧为科技公司和安然马脚研究人员建立一种可信的基本举措措施,在新的协作方法之下,两边在针对马脚表露(Vulnerability Disclosure)的流程中可停止公道的沟通,而不用担心遭到破坏或歧视。在接上去的四年里,Trail of Bits 将会进一步推动零知识证明的实际极限,并为安然马脚研究人员供给照应的软件,用以产生马脚可应用性的零知识证明。这项研究也是 DARPA (美国国防部高等研究筹划局)赞助的「Securing Information for Encrypted Verification and Evaluation」(SIEVE)项目标一部分。
·
·
·

Trezor 供给商 SatoshiLabs 筹划开辟比特币钱包开源芯片

链闻消息,硬件钱包 Trezor 供给商 SatoshiLabs 发布「Tropic Square」筹划,目标是开辟比特币钱包开源芯片。 SatoshiLabs 称,钱包本身是建立在透明和自立权准绳基本上的,而开放源代码的好处在于任何人都可以研究和审计全部内容,并且有益于权力下放。比特币其实不是完全开源的,比如特别芯片「安然元件」(secure elements)宣称是安然的,曾经取得了认证,但认证却没法取得证明。 SatoshiLabs 是以筹划制做出一款开放的、完全可审计的芯片。
前往页面顶部
前往链闻首页
WeChatWeiboFacebookTwitterLinkedInTelegramMediumGitHubRSS收藏区块链搜刮区块链移动 AppEmailUpHomeAppleAndroid