安全警告

IronCore负责地在本页面公开披露漏洞，并通过其他适当的渠道(如有必要)。威还对发现这个问题的研究人员表示赞许。

2018-08-20

不完整的注销

媒介

标题: 不完整的注销日期: 2018-08-20 严重程度: 媒介

总结

注销管理控制台后，任何保留已删除登录cookie的人都可以继续使用系统。

受影响的系统

admin.www.fmgroupng.com

缓解

一个也没有。这个问题在收到后不久就解决了。注销事件发生后，登录cookie不再工作。

确认

感谢Jayesh Patel在8月4日的报道，也感谢Sumit Jain在不久后的报道。

2018-08-28

子域的SPF记录缺失

低

标题: 子域的SPF记录缺失日期: 2018-08-28 严重程度: 低

总结

某些www.fmgroupng.com子域名缺乏SPF记录。

确认

感谢Shivam Lohani的报道。

2019-02-04

歌珥错误配置

低

标题: 歌珥错误配置日期: 2019-02-04 严重程度: 低

总结

在IronCore的主网站上检测到CORS错误配置。

受影响的系统

www.fmgroupng.com

缓解

问题的终端是网络托管平台的一部分，现已被禁用。

确认

感谢Shubham Garg的报道。

2019-10-30

减少一些操作的随机性的回归

高

标题: 减少一些操作的随机性的回归日期: 2019-10-30 严重程度: 高

总结

在recrypt-rs 0.8.0中引入回归后，某些操作的随机性降低了。受影响的256位操作包括:

CryptoOps: gen_plaintext
CryptoOps:变换
KeyGenOps: generate_transform_key

480位钻头的作业没有受到影响。

受影响的系统

主:
- recrypt-rs0.8.0——0.8.3
次要(由于依赖易受攻击的recrypt-rs):
- recrypt-wasm-binding0.5.3
- recrypt-node-binding0.5.0——0.6.0
- ironnode0.7.0——0.7.2
- 铁皮0.6.0——0.6.1
- ironoxide0.9.0——0.12.0
- ironoxide-swig-bindings0.4.3——0.6.0
- ironoxide-scala0.3.1——0.5.0

所有受影响的版本已经从发行版中移除，补丁版本也已经发布。

缓解

我们建议所有用户尽快升级。此外，我们建议在使用脆弱库时生成的任何密钥在用于生产目的时都要重新生成。请注意，作为加密的一部分，所有加密操作都会生成每个对象的密钥，因此我们建议使用这些sdk版本加密的所有文档使用新的文档id重新加密。使用这些版本的sdk创建的组应该重新创建，任何加密到旧组的数据都应该加密到新组。

确认

这个问题是我们团队在内部测试中发现的

错误的猎人因为发现缺陷而得到奖励。

报告是我们发布安全漏洞的地方。