Forwarded from 咕 Billchen 咕 🐱 抹茶芭菲批发中心 (billchenchina | unsafe (*not rust))
CVE-2025-8067 - UDisks
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:H - 8.5
This issue is fixed in udisks2 versions 2.10.91 and 2.10.2
The upstream advisory is available at:
https://github.com/storaged-project/udisks/security/advisories/GHSA-742q-gggc-473g
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:H - 8.5
This issue is fixed in udisks2 versions 2.10.91 and 2.10.2
The upstream advisory is available at:
https://github.com/storaged-project/udisks/security/advisories/GHSA-742q-gggc-473g
GitHub
Out-Of-Bounds Read in UDisks Daemon
The UDisks daemon contains an out-of-bounds (OOB) read vulnerability that can be triggered by an unprivileged user via system bus. Successful exploitation leads to a crash of the daemon process, or...
Forwarded from AIGC
[oss-security] CVE-2025-8067 - UDisks
UDisks 服务中发现高危漏洞 CVE-2025-8067,CVSS 评分为 8.5(高危)。该漏洞为越界读取(Out-Of-Bounds Read)问题,允许非特权用户通过 D-Bus 系统总线触发,可能导致服务崩溃或本地权限提升。
漏洞位于 UDisks 处理 LoopSetup 请求时的 fd_index 参数验证不完整,未检查负数值,导致可读取进程内部无效的文件描述符。攻击者可利用此漏洞映射守护进程的内部文件描述符至回环设备,进而实现权限提升。
受影响版本为 udisks2 2.10.1 及更早版本,已在 2.10.91 和 2.10.2 中修复。
建议用户尽快升级至安全版本。更多技术细节和修复建议可参考上游公告:
https://github.com/storaged-project/udisks/security/advisories/GHSA-742q-gggc-473g
#安全漏洞 #UDisks #权限提升 #Linux安全
#AIGC
Read more
UDisks 服务中发现高危漏洞 CVE-2025-8067,CVSS 评分为 8.5(高危)。该漏洞为越界读取(Out-Of-Bounds Read)问题,允许非特权用户通过 D-Bus 系统总线触发,可能导致服务崩溃或本地权限提升。
漏洞位于 UDisks 处理 LoopSetup 请求时的 fd_index 参数验证不完整,未检查负数值,导致可读取进程内部无效的文件描述符。攻击者可利用此漏洞映射守护进程的内部文件描述符至回环设备,进而实现权限提升。
受影响版本为 udisks2 2.10.1 及更早版本,已在 2.10.91 和 2.10.2 中修复。
建议用户尽快升级至安全版本。更多技术细节和修复建议可参考上游公告:
https://github.com/storaged-project/udisks/security/advisories/GHSA-742q-gggc-473g
#安全漏洞 #UDisks #权限提升 #Linux安全
#AIGC
Read more
Forwarded from 咕 Billchen 咕 🐱 抹茶芭菲批发中心 (billchenchina | unsafe (*not rust))
AIGC
[oss-security] CVE-2025-8067 - UDisks UDisks 服务中发现高危漏洞 CVE-2025-8067,CVSS 评分为 8.5(高危)。该漏洞为越界读取(Out-Of-Bounds Read)问题,允许非特权用户通过 D-Bus 系统总线触发,可能导致服务崩溃或本地权限提升。 漏洞位于 UDisks 处理 LoopSetup 请求时的 fd_index 参数验证不完整,未检查负数值,导致可读取进程内部无效的文件描述符。攻击者可利用此漏洞映射守护进程的内部文件描述符至回环设备,进而实现权限提升。…
DSA 5989-1
For the oldstable distribution (bookworm), this problem has been fixed
in version 2.9.4-4+deb12u2.
For the stable distribution (trixie), this problem has been fixed in
version 2.10.1-12.1+deb13u1.
For the oldstable distribution (bookworm), this problem has been fixed
in version 2.9.4-4+deb12u2.
For the stable distribution (trixie), this problem has been fixed in
version 2.10.1-12.1+deb13u1.
Forwarded from 科技圈的日常 (Jimmy Tian)
nx 包被投毒,通过调用 AI CLI 工具窃取敏感资料
nx 官方简介[1]:An AI-first build platform that connects everything from your editor to CI. Helping you deliver fast, without breaking things.
由于 nx 包 Github 仓库的 Github Actions 权限配置错误,导致 npm Token 被黑客窃取。
黑客在短时间内发布了多个带毒新版本软件包,诱导受害者升级,恶意软件会通过 postinstall 过程安装。
通过 Claude Code、Gemini CLI、Amazon Q 等 AI CLI 工具执行恶意的 Prompt,在用户电脑上检索加密货币钱包的密钥、Github Token、SSH 私钥、npm Token、环境变量文件等内容,并将路径输出在一个临时文件中。
随后会利用受害者的 Github Token 创建一个公开仓库,将敏感内容 base64 编码后上传到仓库中。目前有数千人受到影响,
ref: https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware
[1]: https://github.com/nrwl/nx?tab=readme-ov-file#smart-repos--fast-builds
nx 官方简介[1]:An AI-first build platform that connects everything from your editor to CI. Helping you deliver fast, without breaking things.
由于 nx 包 Github 仓库的 Github Actions 权限配置错误,导致 npm Token 被黑客窃取。
黑客在短时间内发布了多个带毒新版本软件包,诱导受害者升级,恶意软件会通过 postinstall 过程安装。
通过 Claude Code、Gemini CLI、Amazon Q 等 AI CLI 工具执行恶意的 Prompt,在用户电脑上检索加密货币钱包的密钥、Github Token、SSH 私钥、npm Token、环境变量文件等内容,并将路径输出在一个临时文件中。
随后会利用受害者的 Github Token 创建一个公开仓库,将敏感内容 base64 编码后上传到仓库中。目前有数千人受到影响,
ref: https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware
[1]: https://github.com/nrwl/nx?tab=readme-ov-file#smart-repos--fast-builds
www.stepsecurity.io
s1ngularity: Popular Nx Build System Package Compromised with Data-Stealing Malware - StepSecurity
s1ngularity attack hijacked Nx package on npm to steal cryptocurrency wallets, GitHub/npm tokens, SSH keys, and environment secrets - the first documented case of malware weaponizing AI CLI tools for reconnaissance and data exfiltration.
Forwarded from 老周部落运营中心
Forwarded from 南科大今天完了吗
This media is not supported in your browser
VIEW IN TELEGRAM
南科大旋转路标是其他高校永远无法超越的巅峰
Forwarded from luckin
This media is not supported in your browser
VIEW IN TELEGRAM