Google TensorFlow，RCE误差而不再支持YAML

首页 > 清静研究 > 清静转达 > 清静简讯

Google TensorFlow为修复RCE误差而不再支持YAML：Netgear宣布清静更新

宣布时间 2021-09-08

Google TensorFlow为修复RCE误差而不再支持YAML

Google TensorFlow为修复RCE误差而不再支持YAML.jpg

Google开发的基于Python的机械学习和人工智能项目TensorFlow已经放弃了对YAML的支持。TensorFlow代码中的yaml.unsafe_load()函数保存一个误差，追踪为CVE-2021-37678，评分为9.3。当应用反序列化YAML名堂的Keras模子时，攻击者可使用该误差执行恣意代码。为修复此误差，TensorFlow决议完全放弃YAML的支持，转而使用JSON反序列化。

原文链接：

https://www.bleepingcomputer.com/news/security/googles-tensorflow-drops-yaml-support-due-to-code-execution-flaw/

Netgear宣布清静更新，修复影响其20款产品的误差

Netgear宣布清静更新，修复影响其20款产品的误差.jpg

网络装备供应商Netgear于上周9月3日宣布了清静更新，修复影响其20款产品的3个误差。这些误差的代号划分为Demon's Cries、Draconian Fear和Seventh Inferno，现在前两个误差的PoC已经果真。其中，最严重的是Demon's Cries，CVSSv3评分为9.8，可用于绕过身份验证并接受装备。Draconian Fear也是身份验证绕过误差，但只能用于挟制登录的治理员会话。研究职员预计在下周一，即9月13日宣布关误差Seventh Inferno的手艺细节。

原文链接：

https://therecord.media/demons-cries-authentication-bypass-patched-in-netgear-switches/

Node.js开发团队修复NPM包node-tar中的多个误差

Node.js开发团队修复NPM包node-tar中的多个误差.png

Node.js开发团队修复了NPM包“tar”（又名node-tar）中的5个误差。其中较为严重的是误差CVE-2021-37712和CVE-2021-37701。如国家误差数据库(NVD)中所述，这两个误差可用来建设和笼罩恣意文件，或执行恣意代码，CVSS评分均为8.2。此次修复的误差影响了该NPM包版本5.0.0之前的版本。

原文链接：

https://www.ehackingnews.com/2021/09/critical-flaws-in-npm-package-patched.html

中国香港Bilaxy遭到攻击，预计损失凌驾2100万美元

中国香港Bilaxy遭到攻击，预计损失凌驾2100万美元.jpg

8月29日，中国香港的加密钱币生意所Bilaxy称其遭到攻击，预计损失凌驾2100万美元。Bilaxy体现，攻击爆发在8月28日下昼6点到7点之间，攻击者窃取了295个ERC-20币。现在，Bilaxy已阻止了其网站上正在举行生意，并且建议客户暂时不要将用于生意的加密钱币存入生意所。别的，该网站将暂停服务至少2周，用来剖析黑客行为和更新系统，并实验取回被盗的ERC-20币。

原文链接：

https://www.ehackingnews.com/2021/09/cryptocurrency-exchange-bilaxy-under.html

FortiGuard宣布2021年H1全球威胁态势的剖析报告

FortiGuard宣布2021年H1全球威胁态势的剖析报告.png

FortiGuard于8月份宣布了2021年H1全球威胁态势的剖析报告。报告指出，2021年6月平均每周勒索软件运动比一年前同期横跨10.7倍。其中，电信行业是攻击者的主要的目的，其次是政府、托管清静服务提供商、汽车和制造行业。僵尸网络也有所增添，今年年头在35%的组织中检测到了僵尸网络运动，而这一比例在6个月后增添为51%。别的，攻击者更青睐于检测绕过手艺和提权手艺。

原文链接：

https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/report-threat-landscape-2021.pdf

Positive Technologies宣布2021年工业危害的报告

Positive Technologies宣布2021年工业危害的报告.jpg

Positive Technologies于9月1日宣布了2021年工业信息清静危害的剖析报告。报告指出，2020年，工业部分是仅次于政府的第二大攻击目的，有12%的攻击针对工业公司。在91%的工业公司中，攻击者可以渗透进入内网，之后攻击者就可以获得用户凭证并完全控制基础设施。2021年5月，在The Standoff 2021的虚拟靶场展示了信息清静对工业组织的影响，攻击者在两天内控制了加油站，阻止了自然气供应并引发了爆炸。

原文链接：

https://www.ptsecurity.com/ww-en/analytics/ics-risks-2021/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

Google TensorFlow为修复RCE误差而不再支持YAML：Netgear宣布清静更新

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线