HAT's Public Channel |
缓解措施:
1. 更新到最新 1.30.1 (P0) + 增加前置 WAF 层, 避免 NGINX 直接裸露
2. 修改 nginx conf, 确保都使用更加现代的 try_files 或 return 替代 rewrite (P1)
3. 增强运维巡检频次
1. 更新到最新 1.30.1 (P0) + 增加前置 WAF 层, 避免 NGINX 直接裸露
2. 修改 nginx conf, 确保都使用更加现代的 try_files 或 return 替代 rewrite (P1)
3. 增强运维巡检频次
即便当前 conf 中没有扫到受影响的 rewrite 关键词,也建议参考这个流程做一轮检查和加固,防患于未然。
另外有个暴论思路,仅供参考:
NGINX OSS 其实并没有传统意义上的 LTS(长期支持)机制,只有 stable 和 mainline 两个频繁更新的通道
这就导致一种隐患:一旦某个高影响的 CVE 推动大量用户集中、紧急地进行升级,攻击者很可能 “醉翁之意不在酒”。
他们想打的未必是 NGINX 源码本体,而是趁着大家对 CVE 的恐慌情绪,在升级必经的周边环节投毒(阴谋论: 甚至有可能在中间的某个 commit 下了毒 )。
应对此类安全事件时,务必警惕第三方镜像、未知软件源、各种来源不明的修复/升级一键脚本、CI 构建产物、镜像站以及各种所谓的 "二进制临时缓解 patch"
另外有个暴论思路,仅供参考:
NGINX OSS 其实并没有传统意义上的 LTS(长期支持)机制,只有 stable 和 mainline 两个频繁更新的通道
这就导致一种隐患:一旦某个高影响的 CVE 推动大量用户集中、紧急地进行升级,攻击者很可能 “醉翁之意不在酒”。
他们想打的未必是 NGINX 源码本体,而是趁着大家对 CVE 的恐慌情绪,在升级必经的周边环节投毒(
应对此类安全事件时,务必警惕第三方镜像、未知软件源、各种来源不明的修复/升级一键脚本、CI 构建产物、镜像站以及各种所谓的 "二进制临时缓解 patch"
👍8
Faker的个人频道
Nginx 被发现一个存在18年的内存损坏漏洞,可导致远程代码执行,利用门槛低 漏洞存在于每个通用发行版都会包含的rewrite模块 ngx_http_rewrite_module ,影响开原版本Nginx 0.6.27至最近的1.30.0版本,在计算目标缓冲区大小时,使用的是原始字节长度,但在实际写入时,却进行了 URL 转义( + , % , & 等字符会扩展为 3 倍长度),溢出长度可控导致堆喷射 建议用户尽快更新至 1.30.1 / 1.31.0 版本 Ref: https…
一些背景补充:
1. 又是 ai agent “全自动” 扫描并发现的
2. 没有使用 GPT-5.5-cyber / Mythos, 而是 “自研 AI Agent”
3. 他们手里还有 12 个 FFmpeg 的漏洞,并且预告下一步是 Envoy 和 Kata 等
1. 又是 ai agent “全自动” 扫描并发现的
2. 没有使用 GPT-5.5-cyber / Mythos, 而是 “自研 AI Agent”
我们组建了一支以使命为导向的世界一流工程、人工智能研究和安全研究团队,旨在构建最先进的模型、工具和平台。
我们能够以远低于 Mythos 或 GPT-5.5-cyber 等最先进模型的计算成本,取得与之媲美的成果。我们的平台自主发现了 FFmpeg 中 12 个内存损坏漏洞,并生成了相应的修复程序。
这些漏洞在 Anthropic 使用其最先进的模型 Mythos 进行了数百次扫描后仍然存在,而我们仅花费了 $1k USD 的 "depthfirst compute (自研 Agent)" 成本来检测这些漏洞,而 Anthropic 报告的成本为 $10k USD。
*src: https://depthfirst.com/open-defense
3. 他们手里还有 12 个 FFmpeg 的漏洞,并且预告下一步是 Envoy 和 Kata 等
HAT's Public Channel |
修改 nginx conf, 确保都使用更加现代的 try_files 或 return 替代 rewrite (P1)
btw: return 和 try_file 就能涵盖几乎所有 rewrite 场景了,更优雅、更现代,并且早在 2015 年官方就推荐 “请尽可能使用 return 代替 rewrite”
天下苦正则久矣。
天下苦正则久矣。
The return directive is the simpler of the two general‑purpose directives and for that reason we recommend using it instead of rewrite when possible.
src: https://blog.nginx.org/blog/creating-nginx-rewrite-rules
cf 安全团队怎么还没动静啊...
用 https://github.com/DepthFirstDisclosures/Nginx-Rift 配合 Cloudflare (Free Plan+默认 WAF 规则) 还是能完美利用漏洞。
用 https://github.com/DepthFirstDisclosures/Nginx-Rift 配合 Cloudflare (Free Plan+默认 WAF 规则) 还是能完美利用漏洞。
Forwarded from 层叠 - The Cascading
🔴 Fragnesia:另一个 Kernel 本地提权漏洞;mitigation 和 Dirty Frag 一样。
- Mitigation 依旧是禁用 esp4/esp6/rxrpc [1]。注意这可能会使 IPSec/AFS 等组件失效。
- 影响版本范围和 Dirty Frag 一样;patch 尚未合并至 kernel。
1. gh:v12-security/pocs/~
CVE: CVE-2026-46300
thread: /4852
[感谢来自一位匿名订户的消息。]
#Kernel
- Mitigation 依旧是禁用 esp4/esp6/rxrpc [1]。注意这可能会使 IPSec/AFS 等组件失效。
- 影响版本范围和 Dirty Frag 一样;patch 尚未合并至 kernel。
1. gh:v12-security/pocs/~
CVE: CVE-2026-46300
thread: /4852
[感谢来自一位匿名订户的消息。]
#Kernel
GitHub
pocs/fragnesia at main · v12-security/pocs
poc it like it's hot. Contribute to v12-security/pocs development by creating an account on GitHub.
❤1
Forwarded from 🐱MiaoTony's Box | 困困困 zzz (MiaoTony 🐱)
#乐子 #DN42 #LLM
AI Agent 试图扫描 DN42 时把主人搞破产了
一个 AI Agent 试图加入 DN42 爱好者网络来执行网络扫描,在 AWS 上花了 $6531.30,把它的主人搞破产了。
https://lantian.pub/article/fun/ai-agent-bankrupted-their-operator-scan-dn42lantian.lantian/
大家一起来欣赏乐子(
AI Agent 试图扫描 DN42 时把主人搞破产了
一个 AI Agent 试图加入 DN42 爱好者网络来执行网络扫描,在 AWS 上花了 $6531.30,把它的主人搞破产了。
https://lantian.pub/article/fun/ai-agent-bankrupted-their-operator-scan-dn42lantian.lantian/
大家一起来欣赏乐子(
Lan Tian @ Blog
AI Agent 试图扫描 DN42 时把主人搞破产了 - Lan Tian @ Blog
HAT's Public Channel |
Photo
GitHub
Rewrite Bun in Rust by Jarred-Sumner · Pull Request #30412 · oven-sh/bun
Blog post with details coming soon.
It passes Bun's pre-existing test suite on all platforms (and fixes several memory leaks and flaky tests), the binary size shrinks by 3 MB - 8 MB, the be...
It passes Bun's pre-existing test suite on all platforms (and fixes several memory leaks and flaky tests), the binary size shrinks by 3 MB - 8 MB, the be...
HAT's Public Channel |
期待这会带来多少新的 SOTA 国产模型呢!
看起来只是炒冷饭: https://t.iss.one/xhqcankao/26865
Telegram
风向旗参考快讯
中国有条件批准深度求索购买英伟达芯片
两位知情人士表示,中国已批准其顶尖人工智能初创企业深度求索购买英伟达 H200 AI 芯片,相关监管条件仍在敲定中。路透社周三援引消息人士报道,字节跳动、阿里巴巴和腾讯已获准总计购买超过40万颗 H200 芯片。英伟达CEO黄仁勋周四在台北对记者表示,该公司未收到此类信息。他补充说,他认为中国仍在敲定相关许可。消息人士称中国工信部和中国商务部已向所有四家公司授予批准,但规定将附加仍在敲定的条件。其中一位知情人士表示,这些条件正由中国国家规划机构国家发展和改革委员会决定。…
两位知情人士表示,中国已批准其顶尖人工智能初创企业深度求索购买英伟达 H200 AI 芯片,相关监管条件仍在敲定中。路透社周三援引消息人士报道,字节跳动、阿里巴巴和腾讯已获准总计购买超过40万颗 H200 芯片。英伟达CEO黄仁勋周四在台北对记者表示,该公司未收到此类信息。他补充说,他认为中国仍在敲定相关许可。消息人士称中国工信部和中国商务部已向所有四家公司授予批准,但规定将附加仍在敲定的条件。其中一位知情人士表示,这些条件正由中国国家规划机构国家发展和改革委员会决定。…
Forwarded from LoopDNS资讯播报
京东上线名为“AI硬件京东自营专区”的全新店铺,多款此前因禁令处于“禁区”的顶级算力硬件正式开启自营销售。
根据店铺页面,本次上架了 RTX 5090 32G 涡轮版。该卡为无任何阉割后缀的全球统一版本,专门针对多卡高密度部署而生。此前,该型号因高性能算力一度受限于美国的出口管制政策。
除了消费级旗舰,京东还首次在公开自营渠道上架了针对专业渲染和数据中心的 RTX PRO 6000 Blackwell 服务器版。该卡基于英伟达革命性的 Blackwell 架构,此前在华几乎无公开售卖渠道。
mall.jd.com
根据店铺页面,本次上架了 RTX 5090 32G 涡轮版。该卡为无任何阉割后缀的全球统一版本,专门针对多卡高密度部署而生。此前,该型号因高性能算力一度受限于美国的出口管制政策。
除了消费级旗舰,京东还首次在公开自营渠道上架了针对专业渲染和数据中心的 RTX PRO 6000 Blackwell 服务器版。该卡基于英伟达革命性的 Blackwell 架构,此前在华几乎无公开售卖渠道。
mall.jd.com
LoopDNS资讯播报
京东上线名为“AI硬件京东自营专区”的全新店铺,多款此前因禁令处于“禁区”的顶级算力硬件正式开启自营销售。 根据店铺页面,本次上架了 RTX 5090 32G 涡轮版。该卡为无任何阉割后缀的全球统一版本,专门针对多卡高密度部署而生。此前,该型号因高性能算力一度受限于美国的出口管制政策。 除了消费级旗舰,京东还首次在公开自营渠道上架了针对专业渲染和数据中心的 RTX PRO 6000 Blackwell 服务器版。该卡基于英伟达革命性的 Blackwell 架构,此前在华几乎无公开售卖渠道。 mall.jd.com
看起来开放了各种 Blackwell (除 B200) 卡 + 5090 (不含 D) 的禁令