2026年5月11日 星期一

Linux Dirty Frag漏洞

近期在網路上看到有資安公司表示在 Linux系統上面有個嚴重的系統提權漏洞(Dirty Frag), Dirty Frag是 2026年 5月公開揭露的一組 Linux Kernel本機權限提升(Local Privilege Escalation, LPE)漏洞, 攻擊者若已取得一般帳號(非 root), 可利用此漏洞直接升級成 root權限, 進而完全控制主機, 近期資安圈把它視為繼 Dirty Pipe、Copy Fail後又一個高風險 Linux核心漏洞

Dirty Frag並不是單一漏洞, 而是兩個 Linux核心缺陷串接:
。CVE-2026-43284: Linux IPSec ESP模組(esp4/esp6)相關漏洞
。CVE-2026-43500: Linux rxrpc模組相關漏洞
這兩個問題可讓攻擊者修改 page cache(核心快取中的檔案內容), 最後覆寫受保護系統檔案達成 root權限提升

已知受影響系統有: Ubuntu、Red Hat Enterprise Linux、Fedora、CentOS Stream、AlmaLinux、openSUSE等 2017年後 kernel 4.14+系列

防範方法有更新 Kernel, 停用相關模組, 限制本機帳號登入, 加強 Web Server安全

檢查了一下我最近使用過的系統還好都沒發現問題


at 沒有留言:
分類: ,

2026年4月23日 星期四

FTP伺服器全球還有600萬台還在使用

最近有資訊業者表示全球還有 600萬台的 FTP伺服器還在使用, 還蠻有趣的情況, 因為 FTP伺服器(File Transfer Protocol)是一個舊式的檔案傳輸方式, 沒想到現在還有這麼多台伺服器在使用

FTP誕生於 1971年由印度學者 Abhay Bhushan編寫, 用於檔案在用戶端和伺服器間傳輸, 1980年被 TCP/IP取代, 其缺點為安全性不足, 因為 FTP使用的是未加密的明碼傳輸帳號、密碼、檔案內容, 所以容易遭到破解及竊取, 而且還有將近 245萬台使用未加密傳輸



at 沒有留言:
分類:

2026年4月5日 星期日

手機語音信箱漏洞, Line帳號盜用

最近有不少 Line用戶在網路上說帳號被盜, 疑似是手機門號的語音信箱漏洞所導致, 駭客先用被害者手機門號登入 Line帳號並以簡訊傳送驗證碼, 因為手機門號預設語音信箱的密碼未修改, 再以被害人未察覺的情形下用語音驗證的方式取得 Line的驗證碼進而盜取被害人的 Line帳號, 現在發現的大多為台灣大哥大用戶, 建議將手機語音信箱的密碼修改或是關閉語音信箱功能, Line用戶則啟用帳號登入雙重驗證

資料來源: threads@unicornforu

at 沒有留言:
分類: ,

2026年3月22日 星期日

Ubuntu CVE-2026-3888漏洞


近期資安界發現 Ubuntu Desktop存在高風險漏洞 CVE-2026-3888, CVE-2026-3888為一項本機權限提升漏洞(Local Privilege Escalation, LPE), 主要源自 snap套件系統(snapd)與 systemd暫存清理機制之間的邏輯缺陷

攻擊者可利用系統在清理 /tmp 暫存目錄時的時序漏洞植入惡意檔案, 並在 snap sandbox初始化過程中以 root 權限執行, 最終取得系統最高權限控制

影響範圍為 Ubuntu Desktop 24.04及以上版本, 使用 snap套件(snapd)之系統, 多使用者主機(如研發環境、共用主機、CI/CD 系統), 建議使用者更新 snap套件

at 沒有留言:
分類: ,

2026年1月29日 星期四

WinRAR漏洞攻擊CVE-2025-8088

WinRAR是一種壓縮解壓縮文件的共享軟體, 其漏洞 CVE-2025-8088 早在去年7月被揭露由俄羅斯駭客組織進行攻擊行動, 目標涵蓋許多金融、製造、國防及物流產業, 這漏洞主要針對 Windows版本的 WinRAR(7.12版本前)路徑遍歷漏洞(Path Traversal), 讓惡意壓縮檔案可在解壓時將惡意程式解壓到系統目錄中, 在下次登入時惡意程式自動執行, 即便官方已於 2025年底前發布修補程式但仍有許多人未進行更新版本而使用舊版本, 建議將版本更新至 7.13版並不要下載安裝非官方提供的軟體

at 沒有留言:
分類:

2025年12月24日 星期三

2025 Merry Christmas, 耶誕節快樂!

at 沒有留言:
分類:

2025年12月20日 星期六

安裝 Zorin OS及簡單介紹

最近在網路上看到這個 Zorin OS, 它是由 Artyom和 Kyrill兩人所創, 以 Ubuntu為開發基礎並模仿 Windows 7的介面, 其開發目的是為了使 Windows使用者更容易使用 Linux, 提供免費與付費的 Linux發行版, 稍微使用後的感覺是它完全是給 Client User使用的系統(沒有 Server相關套件), 裡面也預裝了平常會使用的軟體, 如有需求還有軟體商店能自行安裝, 查看它的官網上可以看到還有販賣預裝 Zorin OS的筆電, 對於 Linux新手來說也不用怕使用困難w-studio.idv.tw

1. 至官網下載 ISO檔, 它提供基本版及教育版這兩種免費版本

2. 燒成光碟或是使用映像檔後開機, 進入安裝畫面

read more »
at 沒有留言:
分類: