成都鏈安：Apache Tomcat 遠程代碼執行漏洞預警（CVE-2020-9484）_TOMC:TOMCAT

鏈聞消息，成都鏈安威脅情報系統預警，ApacheTomcat遠程代碼執行存在漏洞，部分交易所仍然在使用此web服務器，黑客可利用此漏洞進行犯罪入侵，我們建議使用相關軟件的交易所及時自查并進行修復。漏洞威脅：高。受影響版本：ApacheTomcat10.0.0-M1至10.0.0-M1、ApacheTomcat9.0.0.M1至9.0.34、ApacheTomcat8.5.0至8.5.54、ApacheTomcat7.0.0至7.0.103。漏洞描述：1)?攻擊者可以通過此漏洞控制服務器以及計算機上的文件；2)?服務器將會被配置FileStore和PersistenceManager；3)?PersistenceManager配置有sessionAttributeValueClassNameFilter=「null」或不嚴謹的過濾器，允許攻擊者執行反序列化操作；4)?攻擊者知道從FileStore使用的存儲位置到攻擊者可以控制的文件的相對文件路徑；然后，使用特殊請求，攻擊者將能夠在其控制下通過反序列化文件來觸發遠程代碼執行。成都鏈安安全團隊建議根據官方提供的修復方案進行修復，修復方案如下：ApacheTomcat10.0.0-M1至10.0.0-M1版本建議升級到ApacheTomcat10.0.0-M5或更高版本；ApacheTomcat9.0.0.M1至9.0.34版本建議升級到ApacheTomcat9.0.35或更高版本；ApacheTomcat8.5.0至8.5.54版本建議升級到ApacheTomcat8.5.55或更高版本；ApacheTomcat7.0.0至7.0.103版本建議升級到ApacheTomcat7.0.104或更高版本。用戶也可以通過sessionAttributeValueClassNameFilter適當的值配置PersistenceManager，以確保僅對應用程序提供的屬性進行序列化和反序列化。

REV智能合約已通過Beosin（成都鏈安）的安全審計:據官方消息，Justswap上的明星項目，REV團隊釋放出REV智能合約審計報告，由Beosin（成都鏈安）安全審計完成。

據了解，REV（Revolution Token）是基于區塊鏈的新型社會實驗型代幣。其獨特之處在于內嵌了交易燃燒、尾單博弈、持幣分紅三種獨特的創新機制。

REV技術介紹：智能合約的整體設計清晰，邏輯縝密，代碼安全靠譜，從性能和功能上完全具備了區塊鏈頂級去中心化金融項目的一切條件。合約地址(認準唯一)

TSngG7y4RDSVG6QwoWM4MvVWJb3k8VLZJk。詳情點擊原文鏈接。[2020/9/16]

動態 | 成都鏈安再獲聯想創投、復星高科領投多輪數千萬元融資:區塊鏈安全公司成都鏈安科技有限公司繼2018年5月分布式資本種子輪投資，2018年11月界石資本、盤古創富天使輪投資后，近期連獲多輪融資，共計數千萬人民幣，由聯想創投、復星高科領投，成創投、任子行戰略投資，分布式資本、界石資本、盤古創富等老股東均跟投。

此次融資將用于持續深化區塊鏈全生態安全布局、研發“一站式”區塊鏈安全服務平臺、開展自主可控的區塊鏈安全技術研究、提升用戶全新體驗及全球化市場的拓展，助力成都鏈安成為全球區塊鏈安全領域的行業標桿。在當前區塊鏈新時代風口下，一方面成都鏈安將利用“一站式”區塊鏈安全平臺和服務，協助相關企業做好安全防護工作，提升安全防護能力，減少安全損失；另一方面將繼續大力協助政府監管機構做好調查取證等工作，以切實加強安全監管；同時多為行業發展發出正能量的聲音，帶頭建立起有序的行業規范，并促進安全標準建設。[2020/1/16]

聲音 | 成都鏈安：用戶安全意識不足、交易所安全體系不夠完善等因素造成交易所安全事件頻發:成都鏈安統計數據顯示，近期交易所安全問題時有發生。通過總結近期各種交易所安全事件和用戶丟幣事件，成都鏈安分析認為，交易所安全事件的問題來源主要有三點：1、用戶安全意識不足，導致誤入釣魚網站等進而私密信息被盜。2、交易所安全體系不夠完善，平臺自身存在安全漏洞。3.交易所外接數據服務或其他服務后，未針對不可控因素建立應急機制。[2019/8/26]

Tags：ETOTOMCTOMCATAPACHEPARETOTomcat InuApache Token

火必APP