成都链安：Apache Tomcat 远程代码执行漏洞预警（CVE-2020-9484）

链闻消息，成都链安威胁情报系统预警，ApacheTomcat远程代码执行存在漏洞，部分交易所仍然在使用此web服务器，黑客可利用此漏洞进行犯罪入侵，我们建议使用相关软件的交易所及时自查并进行修复。漏洞威胁：高。受影响版本：ApacheTomcat10.0.0-M1至10.0.0-M1、ApacheTomcat9.0.0.M1至9.0.34、ApacheTomcat8.5.0至8.5.54、ApacheTomcat7.0.0至7.0.103。漏洞描述：1)?攻击者可以通过此漏洞控制服务器以及计算机上的文件；2)?服务器将会被配置FileStore和PersistenceManager；3)?PersistenceManager配置有sessionAttributeValueClassNameFilter=「null」或不严谨的过滤器，允许攻击者执行反序列化操作；4)?攻击者知道从FileStore使用的存储位置到攻击者可以控制的文件的相对文件路径；然后，使用特殊请求，攻击者将能够在其控制下通过反序列化文件来触发远程代码执行。成都链安安全团队建议根据官方提供的修复方案进行修复，修复方案如下：ApacheTomcat10.0.0-M1至10.0.0-M1版本建议升级到ApacheTomcat10.0.0-M5或更高版本；ApacheTomcat9.0.0.M1至9.0.34版本建议升级到ApacheTomcat9.0.35或更高版本；ApacheTomcat8.5.0至8.5.54版本建议升级到ApacheTomcat8.5.55或更高版本；ApacheTomcat7.0.0至7.0.103版本建议升级到ApacheTomcat7.0.104或更高版本。用户也可以通过sessionAttributeValueClassNameFilter适当的值配置PersistenceManager，以确保仅对应用程序提供的属性进行序列化和反序列化。

成都链安：fomo-dao项目遭受攻击，攻击者获利11万美元，目前已转至Tornado.cash:金色财经消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，fomo-dao项目遭受攻击。攻击者地址:

0xbb8bd674e4b2ea3ab7f068803f68f6c911b78c0a

攻击交易bsc：0xbbccd687a00bef0c305b8ebb1db4c40460894f75cdaebd306a2f62e0c86b7ba5

攻击合约:0xe62b2dfc54972354fac2511d8103c23883c746c4

目前攻击者获利11万美元，已经转至Tornado.cash[2022/6/4 4:01:44]

巧克力COCO智能合约已通过Beosin(成都链安）安全审计:据官方消息，Beosin（成都链安）近日已完成巧克力coco智能合约项目的安全审计服务。据介绍，巧克力COCO是基于波场底层打造的一个去中心化开放金融底层基础设施。结合波场TICP跨链协议，订单簿DEX，智能挖矿等等功能的创新和聚合，进而打造全面去中心化金融平台。巧克力COCO无ICO、零预挖且零私募，社区高度自治。合约地址：THTpbtqfoGmL6HwqaGrWKd7aJAcUTbCnoC审计报告编号：202010042149[2020/10/5]

声音 | Beosin（成都链安）预警：某EOS竞猜类游戏遭受攻击 损失超1200枚EOS:根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现，今日上午 8:53:15开始，黑客yunmen****对EOS竞猜类游戏th****sgames发起攻击。截止到现在，该黑客已经获利超过1200枚EOS。Beosin建议游戏项目方应该加强项目运维工作，在收到安全公司的安全提醒之后第一时间排查项目安全性，才能及时止损，同时也呼吁项目开发者应该重视游戏逻辑严谨性及代码安全性。Beosin提醒类似项目方全方面做好合约安全审计并加强风控策略，必要时可联系第三方专业审计团队，在上链前进行完善的代码安全审计，防患于未然。[2019/4/3]

标签：PACCHETOMTOMCPACK币coincheck交易所CryptoMechaKingTOMCAT

Bitcoin热门资讯