mei/weekly
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
8c92e5b972
weekly/docs/2024/2024-6.md
mei 61c243efdc update: issue28 
- use markdownlint
- issue28
2025-02-07 19:53:45 +08:00

46 lines
4.1 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

---
title: Linuxcat周刊(第6期) 打爆云账单只需要S3桶名
tags:
- 网络安全
- Docker
categories:
- Linuxcat周刊
index_img: /img/weekly/2024/06/00066-3115939548.webp
banner_img: /img/weekly/2024/06/00066-3115939548.webp
permalink: /weekly/2024-06/index.html
date: 2024-5-01 16:21:00
---
## 正文
### 1 TensorFlow AI 模型因 Keras API 缺陷面临风险
由于Keras API中存在的一个漏洞可能导致潜在不安全代码执行使得基于TensorFlow的AI模型面临供应链攻击的风险。
Keras是一种神经网络API用Python编写为深度学习软件库如TensorFlow和Theano提供高级接口。
被追踪为CVE-2024-3660的漏洞影响Keras 2.13版本之前的所有版本该漏洞于上周二由CERT协调中心披露。该漏洞存在于Lambda Layers处理机制中Lambda Layers是一种AI“构建块”允许开发人员将任意Python代码作为匿名lambda函数添加到模型中。
> 消息来源: [SC杂志](https://www.scmagazine.com/news/tensorflow-ai-models-at-risk-due-to-keras-api-flaw)
### 2 黑客利用两个零日漏洞CVE-2024-20353、CVE-2024-20359对Cisco ASA设备进行了后门植入
一个国家资助的威胁行为者已经成功地入侵了全球政府网络中使用的思科自适应安全设备ASA并利用两个零日漏洞CVE-2024-20353CVE-2024-20359在这些设备上安装了后门。这一情况由思科Talos研究团队于周三分享。
首个由思科客户确认的活动发生在2024年1月初但实际攻击始于2023年11月。“此外我们发现了证据表明这种能力早在2023年7月就开始被测试和开发。”研究人员补充道。
> 消息来源: [helpnetsecurity](https://www.helpnetsecurity.com/2024/04/24/cve-2024-20353-cve-2024-20359/)
### 3 打爆云账单只需要S3桶名
如果您正在使用亚马逊网络服务并且您的S3存储桶可以从公开网络访问那么最好不要选择一个通用的名称作为空间名。避免使用“example”跳过“change_me”甚至不要选择“foo”或“bar”。有人也许会有与您相同的“稍后更改此名称”的想法但这可能会让您损失一台MacBook的金额。
问问Maciej Pocwierz吧他恰好选择了一个S3名称而“其中一个流行的开源工具”使用了该名称作为其默认备份配置。在为客户项目设置存储桶后他查看了自己的账单页面发现在一天之内有近1亿次未经授权的尝试在他的存储桶上创建新文件PUT请求。账单超过了1300美元且还在不断增加。
> 消息来源: [arstechnica](https://arstechnica.com/information-technology/2024/04/aws-s3-storage-bucket-with-unlucky-name-nearly-cost-developer-1300/)
### 4 埃隆·马斯克最新的想法是将特斯拉汽车变成轮上的AWS
特斯拉这家电动汽车制造商正在考虑一个极具盈利性的点子——利用其车辆中的所有计算能力来处理工作负载以赚取现金就像是一种轮上的AWS。
由埃隆·马斯克领导的这家公司在其最近的日历第一季度财报电话会议上表示,他们注意到其车辆有相当一部分时间只是闲置不动。许多车辆都装备了相当数量的处理能力,那么为什么不让它们做些有用的事情,也为公司赚些钱呢?
> 消息来源: [The Register](https://www.theregister.com/2024/04/30/tesla_ai_workloads/)
### 5 数百万个 Docker 存储库在推送恶意软件和钓鱼网站
自2021年初以来已发现三次大规模活动针对 Docker Hub 用户,植入了数百万个存储库,推送了恶意软件和钓鱼网站。
据JFrog安全研究人员发现Docker Hub托管的1500万个存储库中约有20%含有恶意内容,从垃圾邮件到危险的恶意软件和钓鱼网站不等。
研究人员发现了近460万个不包含 Docker 镜像的存储库,这些镜像无法在 Kubernetes 集群或 Docker 引擎上运行并且将约281万个存储库与三个大规模的恶意活动联系起来。
> 消息来源: [bleepingcomputer](https://www.bleepingcomputer.com/news/security/millions-of-docker-repos-found-pushing-malware-phishing-sites/)
Reference in New Issue View Git Blame Copy Permalink