安全

PSA: 如何给自己的信用记录上锁

| Security | #Credit Freeze | #Security | #Privacy | #Identity Theft | #Finance | #信用 | #安全

根据洛杉矶时报报道,骇客可能窃取了全部美国人的社会安全号

社会安全号码(Social Security Number, SSN)是依据 42 U.S.C. § 405(c)(2) 发给一部分美国纳税人(包括公民、永久居民,以及有工作许可的临时居住在美国的人员)的一个九位数字。 目前,这个号码是由社会保障署(Social Security Administration)发给这些纳税人的, 尽管社会安全号码的设计本意是帮助社会保障署区分这些纳税人的,但由于它是由联邦机构签发的终生不变的数字, 因此它成了事实上的美国全国身份证识别代码,并且在税务以及许多其他地方都有使用。

阅读全文…( 本文约 666 字,阅读大致需要 2 分钟 )

PostgreSQL 安全漏洞 CVE-2024-4317

| Security | #PostgreSQL | #CVE | #Vulnerability | #Database | #安全 | #漏洞

之前没有特别注意这个漏洞,这里稍微记一笔。

PostgreSQL 包含一系列系统视图,这些系统视图可以用来查询系统表。 由于 pg_stats_extpg_stats_ext_exprs 这两个视图在 PostgreSQL 14-16 的 16.3、15.7 和 14.12 之前的版本中缺少了必要的访问控制, 因此未经授权的用户将可以通过这些视图访问其他用户通过 CREATE STATISTICS 创建的一系列统计数据,而这些数据可能会揭示这些未经授权的用户原本没有权限访问的数据,或是函数的执行结果。

PostgreSQL 在 16.3、15.7 和 14.12 中修正了这一问题,但这仅限于新安装的情况。 对于已经安装好的正在运行的数据库,管理员还必须重建这两个系统视图以收紧权限(加入了 WITH (security_barrier) 以及 WHERE 子句来限制访问)。 修正脚本位于源代码的 src/backend/catalog/fix-CVE-2024-4317.sql (对于 FreeBSD pkg 用户,这些修正脚本会安装到 /usr/local/share/postgresql/fix-CVE-2024-4317.sql), 使用 psql 运行即可。

阅读全文…( 本文约 429 字,阅读大致需要 1 分钟 )

SMTP Smuggling

| Security | #postfix | #SMTP | #Security | #Vulnerability | #Email | #Spoofing | #安全 | #漏洞

最近没怎么关注安全方面的进展,结果错过了去年年底披露的 SMTP Smuggling。 这是 Timo Longin 发现的一个全新的针对 SMTP 协议的攻击手法, 现在的年轻人真是蛮厉害的。

阅读全文…( 本文约 1493 字,阅读大致需要 3 分钟 )

iCloud 的 Advanced Data Protection

| Security | #iCloud | #Apple | #Security | #Privacy | #Encryption | #E2EE | #安全 | #隐私 | #加密

最近 Apple 的一系列更新中的一项新的安全特性是 iCloud 的 Advanced Data Protection, 大概看了一下还是挺有意思的。

阅读全文…( 本文约 1473 字,阅读大致需要 3 分钟 )

记一件糗事:术后清理要做好

| Security | #FreeBSD | #PAM | #Postmortem | #Debug | #login.access | #安全

今天和 Henry Hu 聊起 iichid 已经进了 FreeBSD 的主线, 想起自己之前鼠标啥的还是都在用 sysmouse,觉得既然来都来了就索性都改成 evdev 的输入设备算了? 改了 /boot/loader.conf 并增加了下列设置:

iichid_load="YES"
usbhid_load="YES"
hms_load="YES"
hw.usb.usbhid.enable="1"    # 防止uhid(4)接管

重启。等等,一闪而过的那是什么?

ntpd is not allowed to log in on /dev/console
阅读全文…( 本文约 1449 字,阅读大致需要 3 分钟 )