==== 資安雙週報 (240415) ====
初一十五除了呷菜喔外 也要關心一下安全圈的消息
- Rust 得十分
- 財報/重訊
- 你以為只有 創意私房 嗎
- 當詐騙也需要有點資安概念
- 你以為你懂 UUID
- EOL 就是 End-of-Life
## Rust 得十分!
最近又有一個熱門的 CVSS 10.0 的安全性問題[0]
本次受害者是 Windows 環境的 Rust 處理指令時可能執行任意 Shell (CVE-2024-24576)
## 財報/重訊
這兩個禮拜出現兩個公司發表重訊 分別是
- 04/02 無毒的家 (3205 佰研) 公告 會員系統發生資料外洩事件[1]
- 04/11 聯合再生 (3576 聯合再生) 偵測部分系統遭到網路攻擊 造成工廠暫時停工[2]
## 你以為只有 創意私房 嗎
根據 X 上面的消息 [3]
wordpress.com 直接被警政署(?) 認定為詐騙網域 導致有一段時間無法正常使用
但... 你知/我知/獨眼龍也知 要怎樣解決這種問題
## 當詐騙也需要有點資安概念
來自網路 (DCard) 上的熱情守護者[4] 發現一個詐騙網站包含的 AWS access key
懂的人應該知道 擁有 access key 其實可以做很多事情 (尤其還是 root)
雖然詐騙不值得支持 但還是需要讚賞一下密碼使用了 bcrypt
## 你以為你懂 UUID
你以為你懂 UUID 但是你知道 UUID 有很多版本嗎[5]
如果你無腦使用 UUID 就像使用了一個很 random 的 Math.rand
## EOL 就是 End-of-Life
最後 也是最令人興奮的消息
目前網路上存在大量 (約 92k 台) 的 D-Link NAS 存在一個 RCE 問題 (CVE-2024-3273)
官方已經宣稱[6] 受影響的產品已經 EOL (End-of-Life) 並且相關產品應退役與替換
請各位認真看待 EOL 的產品
[0]: https://nvd.nist.gov/vuln/detail/CVE-2024-24576
[1]: https://www.ithome.com.tw/news/162199
[2]: https://www.ctee.com.tw/news/20240411700810-430503
[3]: https://twitter.com/KHeresy/status/1778025526097322037
[4]: https://www.dcard.tw/f/talk/p/255196893?cid=5698BF21-15AE-44FA-917D-62C770FC80D4
[5]: https://pbs.twimg.com/media/GKm1AgpaYAAxRia?format=jpg&name=medium
[6]: https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383