BIG:成都链安：F5 BIG-IP 远程代码执行漏洞预警 CVE-2020-5902_quickpaymentchain

漏洞威胁：高，受影响版本：BIG-IP15.x:15.1.0/15.0.0、BIG-IP14.x:14.1.0~14.1.2、BIG-IP13.x:13.1.0~13.1.3、BIG-IP12.x:12.1.0~12.1.5和BIG-IP11.x:11.6.1~11.6.5。漏洞描述：在F5BIG-IP产品的流量管理用户页面(TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞。未授权的远程攻击者通过向该页面发送特制的请求包，可以造成任意Java代码执行。进而控制F5BIG-IP的全部功能，包括但不限于:执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。修复方案：官方建议可以通过以下步骤暂时缓解影响1)使用以下命令登录对应系统tmsh2)编辑httpd组件的配置文件edit/syshttpdall-properties3)文件内容如下include'Redirect404/'4)按照如下操作保存文件，按下ESC并依次输入:wq5)执行命令刷新配置文件save/sysconfig6)重启httpd服务restartsysservicehttpd并禁止外部IP对TMUI页面的访问成都链安在此建议使用该应用的交易所进行安全自查，按照官方安全建议进行修复，避免造成不必要的经济损失。

成都链安：fortress被盗金额已被转换成1048eth并转入了Tornado Cash:5月9日消息，据成都链安安全舆情监控数据显示，fortress 遭受预言机价格操控攻击，被盗金额已被转换成1048eth并转入了Tornado Cash。经成都链安技术团队分析，本次攻击原因是由于fortress项目的预言机FortressPriceOracle的数据源Chain合约的价格提交函数submit中，将价格提交者的权限验证代码注释了，导致任何地址都可以提交价格数据。攻击者利用这个漏洞，提交一个超大的FST价格，导致抵押品价值计算被操控，进而借贷出了项目中所有的代币。

攻击交易：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

攻击者地址：0xa6af2872176320015f8ddb2ba013b38cb35d22ad

攻击者合约：0xcd337b920678cf35143322ab31ab8977c3463a45[2022/5/9 3:00:21]

仙人掌CTS智能合约已通过Beosin(成都链安）安全审计:据官方消息，Beosin（成都链安）近日已完成仙人掌CTS智能合约项目的安全审计服务。

?仙人掌CTS是基于波场底层打造的一个去中心化开放金融底层基础设施。结合跨链，同时包含去中心化稳定数字货币，去中心化预言机，去中心化保险，流动性挖矿，智能挖矿等等功能的创新和聚合，进而打造全面的去中心化金融平台。仙人掌CTS代币无ICO、零预挖且零私募，社区高度自治。仙人掌CTS将会在9月28日晚20点上线Justswap,并开启流动性挖矿。

合约地址：TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s

审计报告编号：202009262149[2020/9/28]

声音 | 成都链安：用户安全意识不足、交易所安全体系不够完善等因素造成交易所安全事件频发:成都链安统计数据显示，近期交易所安全问题时有发生。通过总结近期各种交易所安全事件和用户丢币事件，成都链安分析认为，交易所安全事件的问题来源主要有三点：1、用户安全意识不足，导致误入钓鱼网站等进而私密信息被盗。2、交易所安全体系不够完善，平台自身存在安全漏洞。3.交易所外接数据服务或其他服务后，未针对不可控因素建立应急机制。[2019/8/26]

标签：BIGHTTSYSCKPWhale Big Coinhttps://etherscan.iobittrustsystemquickpaymentchain

币安币热门资讯