每日安全动态推送(5-17)

Tencent Security Xuanwu Lab Daily News

• OpenSSL Security Advisory:

・ OpenSSL公开了一个新的漏洞CVE-2023-3446，该漏洞会导致使用EVP_PKEY_param_check()或EVP_PKEY_public_check()函数进行DSA公钥或DSA参数检查的应用程序出现长时间延迟。漏洞由fuzzer最先检测到，并在OpenSSL的git存储库中提供了修复。 –

• oss-security - CVE-2024-21823: Intel DSA and Intel IAA advisory:

・介绍了英特尔处理器中的潜在安全漏洞及其解决方案，重点是硬件逻辑不安全的去同步问题 –

• Understanding AddressSanitizer: Better memory safety for your code:

・介绍了使用AddressSanitizer (ASan)来检测代码中可能导致远程代码执行攻击的内存问题，重点讨论了ASan在C++中的应用 –

• Let's check the qdEngine game engine, part three: 10 more bugs:

・使用PVS-Studio静态代码分析工具发现并修复qdEngine游戏引擎中的缺陷和潜在漏洞 –

• oss-security - CVE-2024-32113: Apache OFBiz: Path traversal leading to RCE:

・披露了Apache OFBiz 18.12.13版本之前的CVE-2024-32113漏洞，该漏洞由Qiyi Zhang (RacerZ) @secsys from Fudan (finder)发现。漏洞的根本原因是路径遍历，可能导致远程代码执行。 –

• linux input handles:

・讨论了在Linux内核中安装键盘记录器的方法，以及如何从Linux内核结构中提取信息。 –

• Offensive IoT for Red Team Implants (Part 2):

・介绍了如何使用树莓派 Pico 作为物理植入设备进行攻击，并通过扩展 LoRa 模块来增强攻击能力。 –