热门标签:
Mac 多显示器 显示器扩展 requests patch 并发 Alpine Linux BSD Linux 电动汽车 全部标签

Pagure代码库中的多个严重漏洞导致远程代码执行

2025-03-23
Pagure代码库中的多个严重漏洞导致远程代码执行

安全研究人员发现了Pagure(Fedora使用的软件forge)中的多个严重漏洞,这些漏洞允许远程代码执行(RCE)。其中一个漏洞是由于PagureRepo.log()函数中的参数注入导致的,攻击者可以利用它写入任意文件,从而执行任意代码。其他漏洞包括路径遍历和符号链接处理不当。这些漏洞可能被用来修改Fedora软件包的规范文件,从而引入恶意代码。攻击者甚至可以通过覆盖`/srv/git/.bashrc`文件来获得对Pagure服务器的完全控制。Fedora已经迁移到Forgejo来解决这个问题,但这些漏洞凸显了开源软件供应链安全的关键问题。

阅读更多
(fenrisk.com)
开发

Linux发行版供应链安全漏洞:攻击者只需几天时间就能攻破

2025-03-19
Linux发行版供应链安全漏洞:攻击者只需几天时间就能攻破

研究人员发现,攻击者可以通过利用Linux发行版软件基础设施中的漏洞,在几天内攻破整个系统。与以往复杂的供应链攻击不同,此次攻击目标并非软件依赖项,而是发行版自身的软件基础设施,例如Fedora的Pagure代码库和openSUSE的Open Build Service构建工具。攻击者通过注入参数等方式轻松绕过安全控制,从而植入恶意代码。这表明,即使是大型开源项目也可能面临严重的供应链安全风险,需要加强对软件基础设施的安全性审计和防护。

阅读更多
(fenrisk.com)
科技 软件安全漏洞