Hasty Briefsbeta

全部标签

#security

共 683 篇

双语

Wassette: WebAssembly-based tools for AI agents
9 months ago
- 介绍Wassette——通过模型上下文协议(MCP)实现的面向安全的WebAssembly组件运行时
- Wassette支持从OCI注册表自主获取并安全沙箱化执行Wasm组件
- 特性包括默认拒绝的细粒度权限系统以增强安全性
- Wassette桥接Wasm组件与MCP，解释库接口并将其暴露为MCP工具
- 采用Rust编写的Wassette是零运行时依赖的独立二进制程序
- 演示在VS Code中通过GitHub Copilot配置Wassette
- 示例展示在GitHub Copilot中加载运行基础Wasm组件(时间服务器)
- 阐释Wassette利用Wasmtime沙箱实现最小权限访问的安全模型
- 示例演示加载支持网络的Wasm组件(fetch)及权限管理
- 未来方向包括网络托管Wasm组件和更简易的移植工具
- 鼓励访问GitHub探索Wassette，提供多语言多平台资源
Automate security reviews with Claude Code
9 months ago
- 通过GitHub Actions和新的/security-review命令在Claude Code中引入自动化安全审查功能
- 帮助开发者识别并修复代码中的安全隐患
- 对于确保代码安全至关重要，尤其当开发者日益依赖AI时
- 新增终端指令/security-review可进行临时安全分析
- 检测常见漏洞：SQL注入、XSS跨站脚本、认证缺陷、不安全数据处理及依赖项漏洞
- GitHub Action自动化执行PR安全审查，无缝集成CI/CD流程
- 在PR提交时触发审查，过滤误报并通过行内注释提供修复方案
- Anthropic内部使用中已成功拦截DNS重绑定和SSRF服务器端请求伪造等漏洞
- 所有Claude Code用户现已可用，官方文档提供配置与自定义指南
Windows Subsystem for Linux "WSL" Updated for a Security Vulnerability
9 months ago
- 微软发布了Windows Subsystem for Linux (WSL)的更新版本，以修复一个尚未公开的安全漏洞。
- 此次更新版本WSL 2.5.10在漏洞公开披露前发布，该漏洞计划于8月12日（补丁星期二）正式公开。
- WSL 2.5.10的提交内容包括对WSLg处理虚拟机ID方式的修改，移除了对环境变量的依赖及其他代码优化。
- 这是微软首次在公开相关CVE细节之前发布WSL更新补丁。
We replaced passwords with something worse
9 months ago
- 许多服务采用邮箱/手机号+6位验证码的登录方式
- 这种方式存在安全隐患，攻击者可利用该机制盗取账号
- 攻击者会将你的邮箱提交到正规服务商处获取6位验证码
- 用户无法验证该验证码是否来自正确的服务
- 密码管理器这类反钓鱼工具在此场景下完全失效
- 该攻击方式已成功实施，例如针对微软Minecraft账号的攻击
Show HN: Stasher – Burn-after-read secrets from the CLI, no server, no trust
9 months ago
- Stasher是一个用于安全临时分享秘密的命令行工具
- 专为忙碌、多疑或两者兼具的人士设计
- 采用本地执行的零知识加密技术（AES-256-GCM）
- 秘密阅后即焚——单次使用后自动删除
- CLI优先设计，支持管道操作、脚本编写和自动化
- 无需安装配置，可通过npx直接运行
- 秘密有效期10分钟，配备主动/被动清理机制
- 通过签名发布和验证实现完整供应链透明
- 支持字符串、文件或标准输入等多种秘密分享方式
- 底层采用Cloudflare边缘网络保障安全性
- 后端基于Cloudflare Workers和Durable Objects构建
- 最初作为个人项目开发，现已演变为零信任工具
PyPI: Preventing ZIP parser confusion attacks on Python package installers
9 months ago
- PyPI引入新限制措施，防止针对Python包安装程序的ZIP解析混淆攻击
- PyPI现已拒绝利用混淆攻击的ZIP压缩包
- 目前未发现通过PyPI实际利用该漏洞的证据
- PyPI将逐步淘汰RECORD文件不正确的wheel发行包
- Wheel本质是ZIP归档，而ZIP标准本身存在复杂性和模糊性
- PyPI将拒绝包含无效记录、重复文件名、头信息不匹配、尾部冗余数据或中央目录定位值错误的ZIP文件
- PyPI将先警告后拒收ZIP内容与RECORD元数据不匹配的wheel包
- 大多数主流Python包不存在ZIP或RECORD问题，预计影响范围有限
- 建议措施包括：更新安装工具、检查构建流程、确保ZIP实现符合标准规范
Encryption made for police and military radios may be easily cracked
9 months ago
- 研究人员在关键基础设施、警察和军事无线电设备使用的加密算法中发现后门，导致通信易受攻击。
- 为修复该问题推荐的端到端加密解决方案被发现存在类似漏洞，密钥强度从128位降至56位。
- 该存在缺陷的加密技术主要供需要高度安全性的执法部门、特种部队和情报机构使用。
- 漏洞存在于基于TETRA标准的无线电系统中，该系统在美国以外地区广泛使用，影响多国安全部门。
- 负责制定标准的ETSI和TCCA声称，端到端加密的密钥强度会根据出口管制和政府要求而变化。
- 研究人员发现密钥弱化情况未向终端用户透明披露，引发对安全认知的担忧。
- 这些漏洞可导致窃听、信息注入和重放攻击，影响所有使用TCCA端到端加密方案的机构。
Lessons from writing a Kubernetes Security book
9 months ago
- 《Kubernetes安全学习（第二版）》现已上市，内容针对Kubernetes 1.30+版本及现代云原生安全实践进行了全面更新。
- 自2020年以来，Kubernetes安全形势显著变化，攻击者开始采用更复杂的技术手段入侵集群。
- 本书涵盖软件供应链安全、运行时防护、认证模型、CI/CD管道安全、可观测性等全新主题。
- 专为DevOps工程师、云安全架构师、平台团队及网络安全从业者设计编写。
- 配套提供动手实验、代码示例及GitHub配套代码库，强化实践学习体验。
- 欢迎读者撰写书评、分享推荐，并通过反馈渠道与作者直接交流。
To keep your machine secure, run third-party tools inside Docker
9 months ago
- 运行HTMLhint这类代码检查工具需要安装27个依赖项，其中任何一个都可能是恶意的，存在重大安全隐患。
- 即便是亚马逊这样的大型企业也曾因此类风险遭受攻击。
- 代码检查工具仅需当前目录下的文件只读权限，既不需要联网能力也不应获得文件修改权限。
- 在Docker容器内运行检查器可通过强制限制来降低风险：禁止联网、禁止访问当前目录外文件、目录内仅只读访问。
- 该技术能有效缩小攻击面，可推广应用于各类工具链，包括Go语言的golangci-lint。
- 对于需要修改文件的格式化工具，可在Docker内使用读写挂载卷实现。
- 该方案特别推荐用于GitHub Actions工作流，已被GitHub Actions样板生成器采用。
Sandstorm- self-hostable web productivity suite
9 months ago
- Sandstorm是一个开源项目，旨在简化开源Web应用程序的运行。
- 提供多种应用，如用于文档协作的Etherpad、用于文件存储的Davros、用于任务组织的Wekan，以及用于安全通信的Rocket.Chat。
- 通过应用市场轻松安装应用，并支持自动更新。
- 统一的访问控制系统确保所有应用和数据默认私有。
- 每个文档或应用实例（“grain”）都在安全沙箱中容器化，可减少95%的安全漏洞。
- 通过细粒度访问控制，支持满足安全、法规和数据隐私要求。
- 灵活的托管选项：基于云或本地部署，可随时切换。
- 无供应商锁定；可混合使用不同开发者的应用，包括开源选项。
- 使公司能够集中数据，同时允许团队选择自己的工具。
- 通过处理服务管理和可扩展性，简化开发者的应用部署。
Nothing to Hide
9 months ago
- 莎拉最初认为自己没什么可隐瞒的，也不介意被监控。
- 邻居亚历克斯夫妇以保障她安全为名，开始监视她的日常活动。
- 监控行为逐渐升级为窥探——翻看购物清单、拆阅包裹、窃听电话。
- 当持续不断的监视让她感到窒息时，莎拉终于意识到隐私的重要性。
- 她申请了对这对夫妇的限制令，并反思隐私如何为人的尊严保留空间。
- 好友安德莉亚支持大规模监控，展现了'身正不怕影子斜'心态的普遍性。
- 文章揭示了安全系统后门的危险性——这些漏洞可能被黑客利用。
- 隐私被定义为人类自由的基石，而不仅关乎隐藏不当行为。
- 文末质疑人们对监控体系的盲目信任，以及权力滥用的可能性。
Adult sites are stashing exploit code inside racy .svg files
9 months ago
- 色情网站正利用隐藏在.svg文件中的恶意软件为Facebook帖子生成虚假点赞。
- .svg文件可包含HTML和JavaScript代码，这使得它们容易被滥用于跨站脚本攻击和拒绝服务攻击。
- Malwarebytes安全公司发现，当用户点击这些.svg文件时，会暗中为推广色情网站的Facebook帖子注册点赞。
- 这些.svg文件中的JavaScript代码使用了定制版'JSFuck'进行高度混淆，以隐藏恶意行为。
ECScape: Understanding IAM Privilege Boundaries in Amazon ECS
9 months ago
- 在EC2上运行的Amazon ECS任务可能因共享实例元数据而向同一主机上的其他任务暴露凭证。
- 一种名为'ECScape'的技术允许低权限容器冒充ECS代理，从高权限任务窃取凭证。
- 该攻击通过IMDS访问EC2实例角色，伪造与ECS控制平面的WebSocket连接，并窃取任务凭证。
- 被盗凭证在CloudTrail中显示为合法活动，若无异常监控则难以检测。
- AWS Fargate通过在每个任务独立的微VM中运行提供更强隔离性，可防止凭证泄露。
- 缓解措施包括禁用任务的IMDS访问、隔离高权限任务、实施最小权限原则及监控异常角色使用。
- AWS更新了文档以明确共享EC2实例的凭证泄露风险，但未将其归类为漏洞。
Improving Geographical Resilience for Distributed Open Source Teams with Freon
9 months ago
- 若端到端加密被安全实施，密文存储的司法管辖区无关紧要。
- 软件开发需考虑司法管辖区因素，因可能存在政府后门（如美国《爱国者法案》和《云法案》）。
- 开源缓解措施包括公开发布软件、可复现构建及用于供应链安全的数字签名。
- 密钥透明度对端到端加密通讯应用至关重要，可防止密钥替换攻击。
- 门限签名（如FROST方案）能通过分散签名密钥消除软件签署的单点故障。
- FREON是实施Ed25519门限签名的新工具，专用于保护Git版本发布等协议。
- Freon包含客户端与协调器软件，支持去中心化安全签署仪式，未来将进行功能增强。
Sneaky Git Commits
9 months ago
- Git合并提交可以包含任意修改，但这些修改不会在`git log -u`中显示，因此具有'隐蔽性'。
- 可通过`git merge --no-commit`或`git commit --amend`命令创建隐蔽的合并提交。
- Git官方文档警告不要滥用合并提交进行重大修改，但允许小的修复。
- 文中描述了一个精心设计的供应链攻击场景：通过在合并提交中隐藏后门来绕过代码审查。
- 可以通过重新执行每个合并操作并比较结果树来检查Git仓库历史中的隐蔽合并。
- 语义冲突（例如函数调用新增与函数重命名）可能导致检测隐蔽合并时出现误报。
- 对Linux内核（v6.14到v6.15版本）的分析显示不存在隐蔽合并，仅存在语义冲突。
StarDict sends X11 clipboard to remote servers
9 months ago
- StarDict是一款采用GPLv3协议的跨平台词典软件，其存在安全漏洞会通过未加密的HTTP协议将用户选中的文本发送至远程服务器。
- 该漏洞源于默认启用的'扫描取词'功能及有道插件，该插件会连接中国词典服务dict.youdao.com和dict.cn。
- Debian的默认配置加剧了风险，因StarDict设计为后台持续运行并监控文本选中操作。
- Wayland用户不受影响，因其默认阻止应用程序截取其他窗口文本，这使得StarDict的扫描功能失效。
- Debian维护者Xiao Sheng Wen建议不需要时可禁用相关功能，但批评者认为侵犯隐私的功能不应默认开启。
- 类似漏洞在2009年和2015年就有报告，但修复措施要么临时要么不彻底，凸显持续维护的挑战。
- Debian软件包流行度统计显示当前仅178名用户安装StarDict（2009-2015年约1000名），但敏感数据泄露风险依然存在。
- 该事件折射出更广泛的Linux安全声誉问题，以及开源维护中功能性与隐私保护的平衡难题。
Linux Address Space Isolation Revived After Lowering 70% Performance Hit to 13%
9 months ago
- 谷歌工程师将Linux地址空间隔离（ASI）的性能影响从70%降至13%后，重启了该项目。
- ASI最初是为缓解CPU推测执行攻击而提出的方案，但因I/O性能开销过高曾遭遇挫折。
- 最新ASI原型旨在增强其作为CPU漏洞通用解决方案的可行性信心。
- 当前ASI实现在FIO随机读取测试中性能回退13%，内核编译时间增加6-7%。
- 谷歌现阶段仅将ASI部署于KVM虚拟化工作负载，未应用于裸金属进程。
- 关键性能问题包括上下文切换时不必要的ASI退出、敏感页面清零操作及用户页面的写时复制。
- Linux内核社区正在评估ASI的改进是否值得纳入上游主线。
Maintainers of Last Resort
9 months ago
- Geomys是一个由专业开源维护者组成的组织，专注于Go语言关键项目
- 他们维护Go标准库加密模块的部分组件，并资助x/crypto/ssh和staticcheck等项目
- Geomys作为最后防线维护者接管无人维护但涉及安全的Go项目
- 典型案例包括接管bluemonday HTML净化库，修复gorilla/csrf的安全漏洞
- 通过长期赞助协议获得可持续资金，使其能雇佣外部协作力量
- 针对gorilla/csrf项目，他们推出了基于标准库的新中间件及无缝替代方案
- 该组织获得Smallstep、Ava Labs、Teleport、Tailscale和Sentry等企业的赞助
AI slop attacks on the curl project [video]
9 months ago
- AI机器人正被用于在开源项目中寻找安全问题，但经常提供错误或误导性信息。
- 报告这些虚假发现会浪费维护者的时间并引发挫败感。
- Daniel以curl项目为例指出这个问题，称其是对项目的一种DDoS攻击形式。
- 这种情况被描述为荒谬的，AI生成的报告造成了不必要的工作负担。
Hardening Systemd Services
9 months ago
- Systemd提供指令来限制服务对文件、系统调用或网络的访问，从而增强安全性。
- 加固systemd服务是一个迭代过程，包括添加指令、重新加载、重启和验证服务。
- 命令'systemd-analyze security <服务名称>'可提供安全评分，显示所应用指令的有效性。
- 加固服务能防止被入侵的服务成为攻击者的跳板，提供文件系统隔离、网络隔离和系统调用过滤功能。

About|Login

#security

Wassette: WebAssembly-based tools for AI agents

Automate security reviews with Claude Code

Windows Subsystem for Linux "WSL" Updated for a Security Vulnerability

We replaced passwords with something worse

Show HN: Stasher – Burn-after-read secrets from the CLI, no server, no trust

PyPI: Preventing ZIP parser confusion attacks on Python package installers

Encryption made for police and military radios may be easily cracked

Lessons from writing a Kubernetes Security book

To keep your machine secure, run third-party tools inside Docker

Sandstorm- self-hostable web productivity suite

Nothing to Hide

Adult sites are stashing exploit code inside racy .svg files

ECScape: Understanding IAM Privilege Boundaries in Amazon ECS

Improving Geographical Resilience for Distributed Open Source Teams with Freon

Sneaky Git Commits

StarDict sends X11 clipboard to remote servers

Linux Address Space Isolation Revived After Lowering 70% Performance Hit to 13%

Maintainers of Last Resort

AI slop attacks on the curl project [video]

Hardening Systemd Services