OpenSSL 正在考虑弃用 TLS 1.0 和 TLS 1.1 协议。目前，这些协议在运行时被禁用，需要通过降低 SSL 安全级别值来启用。计划在未来的 4.0 版本（预计在未来 12-18 个月内发布）中，在构建时明确禁用 TLS 1.0/1.1，并考虑在未来主要版本中完全移除相关代码。默认配置可以被覆盖以重新启用 TLS 1.0/1.1。

社区提出的问题包括：

1. 发行版/用户是否对这一时间框架内的方法感到满意？
2. OpenSSL 构建者是否会使用默认配置（在 4.0 中禁用 TLS 1.0/1.1），还是会在他们的构建中重新启用这些协议？
3. 如果重新启用已弃用的协议，什么样的警告机制可以合理地通知用户这些协议将在未来某个时间点被移除，从而促使用户更新到更安全的协议？

欢迎社区提供对这些问题的反馈。

原文链接: https://www.openwall.com/lists/oss-security/2024/08/06/1
标签: #OpenSSL #网络安全 #TLS
#AIGC

Flatpak 发现了一个安全漏洞 (CVE-2024-42472)，该漏洞允许使用持久目录的应用程序访问主机文件。受影响的版本包括所有低于 1.14.10 的版本和 1.15.x 低于 1.15.10 的版本。修复版本为 1.14.x 大于等于 1.14.10 和所有大于等于 1.15.10 的版本。

该漏洞允许恶意或被破坏的 Flatpak 应用读写通常无法访问的文件位置，影响完整性和保密性。漏洞的原因是当使用持久目录时，如果源目录被替换为符号链接，应用程序启动时绑定挂载会跟随符号链接，将指向的任何内容挂载到沙箱中。

修复包括在 Flatpak 1.14.10 和 1.15.10 中，并需要添加新的 --bind-fd 选项到 bubblewrap（Flatpak 使用的沙箱组件）以避免时间检查/时间使用竞争条件。如果难以修补 bubblewrap，可以仅应用补丁“不跟随符号链接挂载持久目录”，并避免同时运行同一不受信任应用的两个实例。

详情请参阅：https://github.com/flatpak/flatpak/security/advisories/GHSA-7hgv-f2j8-xw87

标签：#Linux #Security #Flatpak
#AIGC

CPython zipfile 模块高危漏洞 CVE-2024-8088

CPython 的 zipfile 模块存在一个高危漏洞，编号为 CVE-2024-8088。该漏洞会导致在处理恶意构造的 zip 档案时，程序陷入无限循环。具体来说，当使用 zipfile.Path 类及其方法（如 namelist()`、`iterdir()`、`extractall() 等）遍历 zip 档案条目名称时，可能会触发无限循环。

此漏洞的根本原因在于 zipfile._path._ancestry() 方法中的路径处理不当。具体来说，代码中的 path.rstrip(posixpath.sep) 和 while 循环条件未正确处理路径，导致无限循环。例如，`posixpath.split("//") 返回 ("//", "")，而 "//" != posixpath.sep` 导致循环无法退出。

该漏洞已被修复，建议更新 CPython 并加强输入验证，以防止潜在的拒绝服务攻击。

原文链接： https://www.openwall.com/lists/oss-security/2024/08/22/1 https://www.openwall.com/lists/oss-security/2024/08/22/4

标签： #CPython #漏洞 #zipfile #无限循环
#AIGC

GitLab 发布了多个版本的紧急补丁，包括 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10，主要修复了关键的 SAML 认证绕过漏洞。建议所有自托管的 GitLab 安装立即升级到这些版本。 GitLab.com 已经运行了修复后的版本。

主要修复内容：
- SAML 认证绕过漏洞**：更新了依赖项 omniauth-saml 到 2.2.1 版本和 ruby-saml 到 1.17.0 版本，以缓解 CVE-2024-45409。此漏洞仅影响配置了 SAML 认证的实例。

**自托管 GitLab 的缓解措施：
- 启用 GitLab 的双因素认证（2FA）。
- 禁止 SAML 的双因素绕过选项。

检测和识别攻击尝试：
- 攻击尝试的证据将出现在 GitLab 的 application_json 和 auth_json 日志文件中。

CVE-2024-45409 详细信息：
- Ruby SAML 库在 1.12.2 及以下版本和 1.13.0 到 1.16.0 版本中未能正确验证 SAML 响应的签名，导致攻击者可以伪造 SAML 响应/断言，从而以任意用户身份登录系统。此漏洞已在 1.17.0 和 1.12.3 版本中修复。

更多详情请查看：
- GitLab 发布公告
- CVE-2024-45409 详情
- ruby-saml 安全公告
- omniauth-saml 安全公告

#GitLab #Security #CVE #AIGC

OpenSSH 9.9 发布于 2024 年 9 月 19 日，带来了多项新功能和改进。主要更新包括：

1. **DSA 算法弃用**：计划在 2025 年初完全移除 DSA 签名算法的支持，此版本已默认在编译时禁用 DSA。
2. **预认证压缩移除**：移除了预认证压缩支持，以减少攻击面。
3. **量子安全密钥交换**：新增基于 ML-KEM 和 X25519 的混合后量子密钥交换算法。
4. **配置指令改进**："Match" 配置指令的参数处理更加符合 shell 规则。
5. **安全性增强**：防止私钥在核心转储文件中泄露，并增加了登录时间的随机抖动。

此外，还修复了多个 bug，包括路径处理、日志消息顺序和授权密钥选项处理等问题。详细信息请访问 OpenSSH 9.9 发布页面。

https://www.openssh.com/txt/release-9.9

#OpenSSH #网络安全
#AIGC

2024年9月25日，WebKitGTK 和 WPE WebKit 发布了安全公告 WSA-2024-0005， 涉及多个安全漏洞。这些漏洞可能导致恶意网站引发跨域行为、任意代码执行或用户指纹识别等问题。受影响的版本包括 WebKitGTK 和 WPE WebKit 在 2.42.5 之前的版本。建议用户更新到最新稳定版本以确保安全。

详细信息请访问：
- [WebKitGTK 安全公告](https://webkitgtk.org/security/WSA-2024-0005.html)
- [WPE WebKit 安全公告](https://wpewebkit.org/security/WSA-2024-0005.html)

标签：#网络安全 #WebKitGTK #WPEWebKit #安全更新

#AIGC

勘误：

在先前的安全公告中，关于受影响版本的描述存在错误。正确的信息应为：

- CVE-2024-23271: 影响版本为 WebKitGTK 和 WPE WebKit 在 2.42.5 之前版本。
- CVE-2024-27808、CVE-2024-27820、CVE-2024-27833、CVE-2024-27850: 影响版本为 WebKitGTK 和 WPE WebKit 在 2.44.2 之前版本。
- CVE-2024-27830、CVE-2024-27838、CVE-2024-27851: 影响版本为 WebKitGTK 和 WPE WebKit 在 2.44.3 之前版本。
- CVE-2024-40857、CVE-2024-40866、CVE-2024-44187: 影响版本为 WebKitGTK 和 WPE WebKit 在 2.46.0 之前版本。

我们对此造成的混淆深表歉意。

#AIGC