CERT/CC近日警告，HTTP/2中的"MadeYouReset"漏洞（CVE-2025-8671）可能被用于DDoS攻击。该漏洞源于服务器处理流重置不当，攻击者可通过单一连接发送大量并发请求，导致服务器过载。建议组织及时更新补丁并审计相关实现。

本文介绍了通过网络扫描和API请求进行信息收集的方法，包括使用nmap和masscan工具扫描开放端口，以及通过curl和Python脚本与API交互获取状态和服务器列表。还讨论了LDAP认证、SSRF漏洞利用和文件传输等技术细节。

在使用 cert-manager 通过 webhook 调用 dnspod 签发 SSL 证书时，遇到 DNS 记录未传播的问题，导致认证失败。虽然可以设置 cnameStrategy: None，但大多数 webhook 实现不支持。临时解决方案是避免域名解析到 CNAME 记录，后续将研究 cert-manager 和 webhook 的实现。

使用Cloudflare DNS自动申请SSL证书并配置到Ingress的关键步骤包括：配置Cloudflare DNS、生成SSL证书请求、使用自动化工具申请证书、将证书配置到Ingress。

简单记录，使用 cloudflare dns 自动完成域名 ssl 证书申请并配置到 ingress 的关键步骤。安装使用 helm 安装方法如下：helm repo add jetstack ...

研究人员提出了一种适用于自然语言分类的保护方法CERT-ED，通过随机删除的方式进行实验。实验证明，CERT-ED在准确性和证书的基数方面优于现有的海明距离方法RanMASK。在各种威胁模型下，CERT-ED提高了实验鲁棒性。

网络安全研究人员发现了Blast-RADIUS协议的安全漏洞，攻击者可利用该漏洞发动中间人攻击并绕过完整性检查。漏洞利用了MD5碰撞攻击，允许攻击者获取管理权限。建议使用该协议的服务提供商和组织更新到最新版本，采取更安全的措施保护数据包。

绿盟科技CERT监测到runc官方发布安全通告，修复了一个容器逃逸漏洞（CVE-2024-21626）。攻击者可以通过多种方式进行容器逃逸，导致对主机的完全访问权限。受影响版本为0.0-rc93 <= runc <= 1.1.11，官方已在最新版本中修复该漏洞。

绿盟科技CERT监测到OpenSSH发布安全更新，修复了一个命令注入漏洞。受影响用户应尽快升级版本进行防护。

绿盟科技CERT监测到Apache官方发布安全公告修复了Struts的远程代码执行漏洞S2-066（CVE-2023-50164），建议受影响用户尽快升级版本进行防护。

前 这一篇也是基础设施的部署记录。cert-manager用于集群的 ingress https 证书的管理。...

作者在写代码时遇到了一个奇怪的问题，返回一个自身为A的右值时，Clang-Tidy报了一个警告，说operator++方法返回了一个非const的变量。作者尝试加上const修饰符后，又收到了另一个警告，说const修饰符可能会降低代码可读性。作者在查找资料后发现，这两个警告在未来的版本中将被移除。

印度计算机应急响应小组（CERT-IN）发布警告，称新安卓漏洞可能导致未经授权访问敏感信息和拒绝服务攻击。漏洞源头在于Android操作系统的框架、系统更新、内核和组件中。安卓用户应及时更新设备以保护个人信息。谷歌也承认了这些漏洞，并发布安全更新。