漏洞概述 TanStack npm 供应链攻击:攻击者在6分钟内推送了84个恶意版本的 包,这些包通过去中心化信使传播,窃取了凭证并感染了维护者的包。 Grafana Labs 攻击:攻击者通过GitHub工作流令牌获取了对Grafana Labs的GitHub仓库的未授权访问。 Canvas LMS 漏洞:ShinyHunters 利用 Canvas LMS 的 Free-For-Teacher 服务中的漏洞,导致数据泄露和勒索。 Copy Fail 漏洞:Xint.io 披露了一个 Linux 本地权限提升漏洞,该漏洞允许攻击者重写缓存文件内容,无需触及磁盘。 Dirty Frag 漏洞:Hyunwoo Kim 发布了一个利用多个 Linux 发行版中漏洞的 PoC,包括 ESP Page-Cache Write 和 RxRPC Page-Cache Write。 Dirty Decrypt 漏洞:作为 Dirty Frag 漏洞的一部分,允许攻击者获取某些 Linux 系统的 root 访问权限。 影响范围 TanStack npm 供应链攻击:影响了超过172个包,518百万次累计下载。 Grafana Labs 攻击:影响了 Grafana Labs 的 GitHub 仓库。 Canvas LMS 漏洞:影响了全球数千个教育机构,导致3.65 TB 数据泄露和2.75亿条记录被窃取。 Copy Fail 漏洞:影响了所有主要 Linux 发行版。 Dirty Frag 漏洞:影响了多个 Linux 发行版,包括 Ubuntu、Debian 和 Fedora。 Dirty Decrypt 漏洞:影响了某些 Linux 系统。 修复方案 TanStack npm 供应链攻击:建议用户检查并更新受影响的包,使用可信的包来源。 Grafana Labs 攻击:Grafana Labs 已检测到恶意活动并启动了事件响应计划,建议用户检查并更新 GitHub 工作流令牌。 Canvas LMS 漏洞:Instructure 公司已修复漏洞,建议用户更新 Canvas LMS 到最新版本。 Copy Fail 漏洞:Xint.io 已负责任地披露了漏洞,补丁已合并,建议用户更新系统。 Dirty Frag 漏洞:Hyunwoo Kim 已发布 PoC,建议用户更新系统并应用相关补丁。 Dirty Decrypt 漏洞:作为 Dirty Frag 漏洞的一部分,建议用户更新系统并应用相关补丁。 POC 代码 以上代码仅为示例,实际利用代码可能更为复杂。建议用户及时更新系统并应用相关补丁,以防止漏洞被利用。