==== 资安双周报 (240415) ====
初一十五除了呷菜喔外 也要关心一下安全圈的消息
- Rust 得十分
- 财报/重讯
- 你以为只有 创意私房 吗
- 当诈骗也需要有点资安概念
- 你以为你懂 UUID
- EOL 就是 End-of-Life
## Rust 得十分!
最近又有一个热门的 CVSS 10.0 的安全性问题[0]
本次受害者是 Windows 环境的 Rust 处理指令时可能执行任意 Shell (CVE-2024-24576)
## 财报/重讯
这两个礼拜出现两个公司发表重讯 分别是
- 04/02 无毒的家 (3205 佰研) 公告 会员系统发生资料外泄事件[1]
- 04/11 联合再生 (3576 联合再生) 侦测部分系统遭到网络攻击 造成工厂暂时停工[2]
## 你以为只有 创意私房 吗
根据 X 上面的消息 [3]
wordpress.com 直接被警政署(?) 认定为诈骗网域 导致有一段时间无法正常使用
但... 你知/我知/独眼龙也知 要怎样解决这种问题
## 当诈骗也需要有点资安概念
来自网络 (DCard) 上的热情守护者[4] 发现一个诈骗网站包含的 AWS access key
懂的人应该知道 拥有 access key 其实可以做很多事情 (尤其还是 root)
虽然诈骗不值得支持 但还是需要赞赏一下密码使用了 bcrypt
## 你以为你懂 UUID
你以为你懂 UUID 但是你知道 UUID 有很多版本吗[5]
如果你无脑使用 UUID 就像使用了一个很 random 的 Math.rand
## EOL 就是 End-of-Life
最后 也是最令人兴奋的消息
目前网络上存在大量 (约 92k 台) 的 D-Link NAS 存在一个 RCE 问题 (CVE-2024-3273)
官方已经宣称[6] 受影响的产品已经 EOL (End-of-Life) 并且相关产品应退役与替换
请各位认真看待 EOL 的产品
[0]: https://nvd.nist.gov/vuln/detail/CVE-2024-24576
[1]: https://www.ithome.com.tw/news/162199
[2]: https://www.ctee.com.tw/news/20240411700810-430503
[3]: https://twitter.com/KHeresy/status/1778025526097322037
[4]: https://www.dcard.tw/f/talk/p/255196893?cid=5698BF21-15AE-44FA-917D-62C770FC80D4
[5]: https://pbs.twimg.com/media/GKm1AgpaYAAxRia?format=jpg&name=medium
[6]: https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383