Google TensorFlow，RCE漏洞而不再支持YAML

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Google TensorFlow为修复RCE漏洞而不再支持YAML：Netgear宣布宁静更新

宣布时间 2021-09-08

Google TensorFlow为修复RCE漏洞而不再支持YAML

Google TensorFlow为修复RCE漏洞而不再支持YAML.jpg

Google开发的基于Python的机器学习和人工智能项目TensorFlow已经放弃了对YAML的支持。TensorFlow代码中的yaml.unsafe_load()函数存在一个漏洞，追踪为CVE-2021-37678，评分为9.3。当应用反序列化YAML格式的Keras模型时，攻击者可利用该漏洞执行任意代码。为修复此漏洞，TensorFlow决定完全放弃YAML的支持，转而使用JSON反序列化。

原文链接：

https://www.bleepingcomputer.com/news/security/googles-tensorflow-drops-yaml-support-due-to-code-execution-flaw/

Netgear宣布宁静更新，修复影响其20款产物的漏洞

Netgear宣布宁静更新，修复影响其20款产物的漏洞.jpg

网络设备供应商Netgear于上周9月3日宣布了宁静更新，修复影响其20款产物的3个漏洞。这些漏洞的代号分别为Demon's Cries、Draconian Fear和Seventh Inferno，目前前两个漏洞的PoC已经果然。其中，最严重的是Demon's Cries，CVSSv3评分为9.8，可用于绕过身份验证并接管设备。Draconian Fear也是身份验证绕过漏洞，但只能用于劫持登录的管理员会话。研究人员预计在下周一，即9月13日宣布关漏洞Seventh Inferno的技术细节。

原文链接：

https://therecord.media/demons-cries-authentication-bypass-patched-in-netgear-switches/

Node.js开发团队修复NPM包node-tar中的多个漏洞

Node.js开发团队修复NPM包node-tar中的多个漏洞.png

Node.js开发团队修复了NPM包“tar”（又名node-tar）中的5个漏洞。其中较为严重的是漏洞CVE-2021-37712和CVE-2021-37701。如国家漏洞数据库(NVD)中所述，这两个漏洞可用来创建和笼罩任意文件，或执行任意代码，CVSS评分均为8.2。此次修复的漏洞影响了该NPM包版本5.0.0之前的版本。

原文链接：

https://www.ehackingnews.com/2021/09/critical-flaws-in-npm-package-patched.html

中国香港Bilaxy遭到攻击，预计损失凌驾2100万美元

中国香港Bilaxy遭到攻击，预计损失凌驾2100万美元.jpg

8月29日，中国香港的加密货币交易所Bilaxy称其遭到攻击，预计损失凌驾2100万美元。Bilaxy体现，攻击发生在8月28日下午6点到7点之间，攻击者窃取了295个ERC-20币。目前，Bilaxy已停止了其网站上正在进行交易，而且建议客户暂时不要将用于交易的加密货币存入交易所。此外，该网站将暂停服务至少2周，用来分析黑客行为和更新系统，并实验取回被盗的ERC-20币。

原文链接：

https://www.ehackingnews.com/2021/09/cryptocurrency-exchange-bilaxy-under.html

FortiGuard宣布2021年H1全球威胁态势的分析陈诉

FortiGuard宣布2021年H1全球威胁态势的分析陈诉.png

FortiGuard于8月份宣布了2021年H1全球威胁态势的分析陈诉。陈诉指出，2021年6月平均每周勒索软件活动比一年前同期高出10.7倍。其中，电信行业是攻击者的首要的目标，其次是政府、托管宁静服务提供商、汽车和制造行业。僵尸网络也有所增加，今年年初在35%的组织中检测到了僵尸网络活动，而这一比例在6个月后增加为51%。此外，攻击者更青睐于检测绕过技术和提权技术。

原文链接：

https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/report-threat-landscape-2021.pdf

Positive Technologies宣布2021年工业风险的陈诉

Positive Technologies宣布2021年工业风险的陈诉.jpg

Positive Technologies于9月1日宣布了2021年工业信息宁静风险的分析陈诉。陈诉指出，2020年，工业部门是仅次于政府的第二大攻击目标，有12%的攻击针对工业公司。在91%的工业公司中，攻击者可以渗透进入内网，之后攻击者就可以获得用户凭据并完全控制基础设施。2021年5月，在The Standoff 2021的虚拟靶场展示了信息宁静对工业组织的影响，攻击者在两天内控制了加油站，停止了天然气供应并引发了爆炸。

原文链接：

https://www.ptsecurity.com/ww-en/analytics/ics-risks-2021/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究

Google TensorFlow为修复RCE漏洞而不再支持YAML：Netgear宣布宁静更新

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线