feihanim的博客

继OpenSSL的"Heartbleed"之后，数据库巨头MongoDB近日也迎来了一个令人不安的时刻。这个被称为“MongoBleed”的高危漏洞（CVE-2025-14847），允许攻击者在没有任何身份验证的情况下，远程读取数据库服务器的未初始化堆内存。这意味着，你的数据库密码、AWS密钥以及其他敏感数据，可能正通过网络裸奔。本文将为您通俗易懂地拆解这一漏洞的原理与防御之道。

2025年10月，开源即时通讯平台Mattermost在其v11版本中悄然引入了一项重大限制：**团队版用户的消息历史被限制在10,000条以内**。超过限制后，历史消息将被隐藏，无法访问。这一事件在Hacker News和GitHub上引发了轩然大波，开源社区对此普遍感到失望和愤怒。

Linux内核的Rust代码首次被发现存在安全漏洞（CVE-2025-68260），这是Rust代码在主流Linux内核中的首个CVE记录。该漏洞源于Android Binder的Rust重写代码中的竞态条件问题，可能导致内存损坏并引发系统崩溃。尽管这是一个严重的安全问题，但它尚未达到远程代码执行级别。该漏洞已在Linux 6.18.1和6.19-rc1版本中修复。

Freedom Chat通讯应用虚假宣传安全功能，实则存在严重隐私泄露风险。安全研究员发现该应用不仅收集元数据、使用中心化服务器，还暴露用户PIN码和电话号码。通过逆向工程发现，频道功能明文显示所有成员PIN码，且API接口无速率限制，允许批量枚举用户信息。相比之下，企业级私有化方案（如飞函）通过物理隔离和封闭认证体系，从架构层面规避了此类风险。该事件凸显公有云通讯的固有安全隐患，强调企业应选择可控的物理架构和严谨权限体系保障数据安全。

Go 1.26引入了`runtime/secret`包，允许在函数执行完毕后自动擦除敏感数据，确保不会在内存中留下痕迹。这对于需要保护密钥和数据安全的加密库开发者尤为重要。包中的`Do`函数可以自动清理函数使用的寄存器、堆和栈，防止敏感信息泄露。虽然该功能目前仍处于实验阶段，但它为编写更安全的代码提供了新的工具。

瑞士政府对 Microsoft 365 的“劝退”，实际上是向全球发出的数据安全预警。在充满不确定性的网络空间中，把数据安全寄托在他国法律的仁慈或服务商的道德自律上，是极其危险的。对于掌握核心机密的政企机构而言，唯有拥抱私有化部署，构建自主可控的加密防线，才能牢牢握住数据主权的生命线。

近期发现了一个严重的安全漏洞 CVE-2025-55182，影响 React 19 及其相关框架（如 Next.js）。该漏洞允许攻击者通过不安全的反序列化在服务器上执行任意代码。Wiz 安全研究数据显示，39% 的云环境存在此漏洞。安全团队应立即升级 React 及相关依赖，以确保系统安全。