HET:成都鏈安：Apache Tomcat 遠程代碼執行漏洞預警（CVE-2020-9484）_PAC

鏈聞消息，成都鏈安威脅情報系統預警，ApacheTomcat遠程代碼執行存在漏洞，部分交易所仍然在使用此web服務器，黑客可利用此漏洞進行犯罪入侵，我們建議使用相關軟件的交易所及時自查并進行修復。漏洞威脅：高。受影響版本：ApacheTomcat10.0.0-M1至10.0.0-M1、ApacheTomcat9.0.0.M1至9.0.34、ApacheTomcat8.5.0至8.5.54、ApacheTomcat7.0.0至7.0.103。漏洞描述：1)?攻擊者可以通過此漏洞控制服務器以及計算機上的文件；2)?服務器將會被配置FileStore和PersistenceManager；3)?PersistenceManager配置有sessionAttributeValueClassNameFilter=「null」或不嚴謹的過濾器，允許攻擊者執行反序列化操作；4)?攻擊者知道從FileStore使用的存儲位置到攻擊者可以控制的文件的相對文件路徑；然后，使用特殊請求，攻擊者將能夠在其控制下通過反序列化文件來觸發遠程代碼執行。成都鏈安安全團隊建議根據官方提供的修復方案進行修復，修復方案如下：ApacheTomcat10.0.0-M1至10.0.0-M1版本建議升級到ApacheTomcat10.0.0-M5或更高版本；ApacheTomcat9.0.0.M1至9.0.34版本建議升級到ApacheTomcat9.0.35或更高版本；ApacheTomcat8.5.0至8.5.54版本建議升級到ApacheTomcat8.5.55或更高版本；ApacheTomcat7.0.0至7.0.103版本建議升級到ApacheTomcat7.0.104或更高版本。用戶也可以通過sessionAttributeValueClassNameFilter適當的值配置PersistenceManager，以確保僅對應用程序提供的屬性進行序列化和反序列化。

成都鏈安：whaleswap.finance項目遭受攻擊，至少損失5,946 個BUSD和5964個USDT:6月21日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，whaleswap.finance項目遭受攻擊，成都鏈安技術團隊分析發現原因可能是因為whaleswap.finance Pair合約的K值校驗存在問題。每當用戶在進行交換時，K值校驗中傳入的參數量級存在問題，造成K值校驗失效。攻擊者先通過閃電貸借一筆BSC-USD，之后歸還閃電貸時K值校驗參數量級為10000^4。而K值校驗時采取的參數校驗量級為10000^2，導致K校驗失效。[2022/6/21 4:41:57]

成都鏈安：fortress被盜金額已被轉換成1048eth并轉入了Tornado Cash:5月9日消息，據成都鏈安安全輿情監控數據顯示，fortress 遭受預言機價格操控攻擊，被盜金額已被轉換成1048eth并轉入了Tornado Cash。經成都鏈安技術團隊分析，本次攻擊原因是由于fortress項目的預言機FortressPriceOracle的數據源Chain合約的價格提交函數submit中，將價格提交者的權限驗證代碼注釋了，導致任何地址都可以提交價格數據。攻擊者利用這個漏洞，提交一個超大的FST價格，導致抵押品價值計算被操控，進而借貸出了項目中所有的代幣。

攻擊交易：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

攻擊者地址：0xa6af2872176320015f8ddb2ba013b38cb35d22ad

攻擊者合約：0xcd337b920678cf35143322ab31ab8977c3463a45[2022/5/9 3:00:21]

OneSwap智能合約代碼通過慢霧、成都鏈安、PeckShield安全審計:據海外媒體消息，OneSwap已9月6日順利通過智能合約代碼安全審計，此次審計工作由三家業內知名的安全公司慢霧科技，派盾PeckShield，成都鏈安完成。在審計過程中，三家獨立的審計團隊采取自身獨特的策略對OneSwap智能合約代碼進行全方位開展代碼審計工作，以最大程度確保及時發現漏洞。

審計團隊分別從攻擊漏洞測試、合約復雜度分析、代碼通用性、鏈上數據安全、代碼邏輯等方面對OneSwap智能合約代碼進行全方位的測試分析。OneSwap智能合約代碼均符合三家安全公司的安全審核標準，審計中發現的問題目前都已解決或正在解決中。

OneSwap是一個基于智能合約的完全去中心化的交易協議，在CFMM模型的基礎之上引入鏈上訂單簿來改善AMM用戶的交易體驗。上幣無需許可，可支持自動化做市、支持掛單挖礦、流動性挖礦和交易挖礦。據官方消息，Oneswap將在2020年9月7日正式上線并開啟公測。[2020/9/7]

Tags：HETPACTOMCATDeltaThetaIMPACTXPATOMUCOPYCAT價格

中幣下載