oppose2336's recent timeline updates oppose2336's recent timeline updates |
oppose2336V2EX member #601252, joined on 2022-11-09 23:10:14 +08:00 |
oppose2336's recent replies
Jan 31 Replied to a topic by izToDo › 信息安全 › 飞牛 OS 疑似 0day 漏洞,许多用户设备遭到攻击,请尽快检查设备或暂停使用 |
@Chengnan049 图 1 的吗,Beyond Compare
Jan 31 Replied to a topic by izToDo › 信息安全 › 飞牛 OS 疑似 0day 漏洞,许多用户设备遭到攻击,请尽快检查设备或暂停使用 |
@fuchaofather 会稍微缓解一点点,可能还有很多漏洞点没有发现,比如 https://v2ex.com/t/1189392#r_17275646 的问题 1.1.15 还没有修复
Jan 31 Replied to a topic by izToDo › 信息安全 › 飞牛 OS 疑似 0day 漏洞,许多用户设备遭到攻击,请尽快检查设备或暂停使用 |
@patrickyoung 这个里我看了下,1.1.15 也没修,目前 dockermgr 中有两处这个问题
Jan 31 Replied to a topic by lyz2754509784 › NAS › 公网使用飞牛 nas 的一些安全使用小提示--感谢飞牛官方团队 |
Jan 31 Replied to a topic by izToDo › 信息安全 › 飞牛 OS 疑似 0day 漏洞,许多用户设备遭到攻击,请尽快检查设备或暂停使用 |
漏洞点:`/usr/trim/bin/trim_app_center` → `appstore_core_web_controller__ptr_StaticController_GetStatic`
根据解包出来的文件时间戳,1.1.11 这个问题仍存在,官方在 1 月 23 日的 1.1.15 版本采取了行动
[Imgur]( https://imgur.com/6Icta6A)
1.1.11 版本是直接读取 appname 后,立即用于路径拼接,1.1.15 加入了`参数合法性检查`、`路径安全拼接`、`目录文件验证`三个函数来缓解路径遍历的问题
[Imgur]( https://imgur.com/AnlKy7R)
[Imgur]( https://imgur.com/QsHgArM)
根据解包出来的文件时间戳,1.1.11 这个问题仍存在,官方在 1 月 23 日的 1.1.15 版本采取了行动
[Imgur]( https://imgur.com/6Icta6A)
1.1.11 版本是直接读取 appname 后,立即用于路径拼接,1.1.15 加入了`参数合法性检查`、`路径安全拼接`、`目录文件验证`三个函数来缓解路径遍历的问题
[Imgur]( https://imgur.com/AnlKy7R)
[Imgur]( https://imgur.com/QsHgArM)
Select Language