-
预警Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
2019年7月31日,本站安全专题监测到有安全研究人员披露Jackson最新反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439),针对CVE-2019-12384漏洞绕过,利用可导致远程执行服务器命令,官方git已发布公告说明,请使用到Jackson的用户尽快升级至安全版本。漏洞描述近日,Jackson官方github仓库发布安全issue,涉及漏洞CVE-201…- 1.8k
- 0
-
预警Sudo配置不当致权限提升漏洞(CVE-2019-14287)
2019年10月15日,本站安全专题监测到国外安全研究人员披露了Sudo软件提权漏洞。在Sudo配置不当的情况下,本地攻击者通过构造特殊命令,可以绕过Sudo限制以root身份在服务器上执行任意命令。漏洞实际利用场景为本地提权,风险较低。漏洞描述当 /etc/sudoers 文件中存在 *=(ALL, *) 形式的配置时,本地攻击者可以通过指定用户…- 78
- 0
-
预警Jenkins 非预期方法调用代码执行漏洞
2018年12月06日,安全专题监测到Jenkins官方发布安全公告,披露了一个高危安全漏洞。攻击者构造特定的恶意请求,可以调用到非预期范围内的方法逻辑,可能导致服务器敏感信息泄露或代码执行等危害。影响版本Jenkins weekly 2.153 及之前版本Jenkins LTS 2.138.3 及之前版本安全建议更新 Jenkins weekly 到 2.154 版本更新 Jenkins LTS…- 64
- 0
-
预警Linux 内核TCP SACK机制远程拒绝服务漏洞
2019年6月18日,本站安全专题监控到国外某安全研究组织披露Linux 内核TCP SACK机制存在缺陷,可导致远程拒绝服务。CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479。漏洞描述Linux 内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷,导致整数溢出漏洞,攻击者可以构造特定的SACK包,远程触发Linux服务器内核模块溢出…- 82
- 0
-
预警Jackson < 2.9.9.1 反序列化远程代码执行漏洞(CVE-2019-12384)
2019年7月23日,本站安全专题监测到有安全研究人员披露Jackson < 2.9.9.1 存在反序列化远程代码执行漏洞(CVE-2019-12384),利用可导致远程执行服务器命令,官方git已发布公告说明,请使用到Jackson的用户尽快升级至安全版本。漏洞描述Jackson是一套开源java高性能JSON处理器,其在反序列化处理JSON格式时存在缺陷,当用户提交一个精心构造的恶意JS…- 378
- 0
-
预警泛微e-cology OA系统前台SQL注入漏洞
2019年10月10日,本站安全专题监测到国家信息安全漏洞共享平台(CNVD)披露了泛微e-cology OA系统前台SQL注入漏洞。攻击者通过构造特定的HTTP请求,成功利用漏洞可在目标服务器上执行SQL语句,风险极大。漏洞描述泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology…- 161
- 0
-
预警Apache Solr < 7.0 反序列化远程代码执行漏洞
2019年3月7日,安全专题监测到Apache官方发布安全Solr issue,披露了一个远程反序列化代码执行漏洞CVE-2019-0192,危害较大。漏洞描述Apache Solr < 7.0.0 的版本中,允许core ConfigAPI修改jmx.serviceUrl属性,恶意攻击者可将其指向设定好的RMI/LDAP服务,导致反序列化远程代码执行漏洞,使用流行的ysoserial工具即…- 116
- 0
-
预警ThinkPHP5 核心类Request远程代码执行高危漏洞
2019年1月11日,安全专题监测到ThinkPHP官方发布安全更新,披露了一个高危安全漏洞,攻击者构造特定的恶意请求,可以直接获取服务器权限,受影响的版本包括5.0.0~5.0.23版本及5.1多个版本。漏洞描述由于ThinkPHP5框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。漏洞评级严重影响版本ThinkPHP 5.0系列 < …- 201
- 0
-
预警fastjson < 1.2.51 远程代码执行漏洞
近日,本站安全专题监测到fastjson爆出远程代码执行漏洞,可导致直接获取服务器权限,官方已发布公告说明,影响版本 < 1.2.51,请使用到的用户尽快升级至安全版本。漏洞描述fastjson < 1.2.51版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行。本站安全专题提醒fastjson用户尽…- 116
- 0
-
预警Windows RDP 远程代码执行高危漏洞(CVE-2019-0708)
2019年5月15日,安全专题监测到微软官方发布紧急安全补丁,修复了一个Windows远程桌面服务的远程代码执行漏洞(CVE-2019-0708),利用此漏洞可能可以直接获取Windows服务器权限。漏洞描述微软官方紧急发布安全补丁,修复了一个Windows远程桌面服务的远程代码执行漏洞(CVE-2019-0708),该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证,无需用户交互。当…- 224
- 0
-
预警Coremail配置信息泄露0day漏洞
2019年6月14日上午,本站安全专题监控到互联网正在传播的Coremail配置信息泄露漏洞的POC,利用漏洞可远程获取Coremail配置文件等敏感信息,风险较大。漏洞描述通过安全安全应急响应中心分析判定确认其POC有效,通过POC可获取Coremail配置文件信息,包括配置IP、端口、文件路径、数据库密码、用户名等信息。安全专题已捕获该0day漏洞利用方式,漏洞真实存在且风险极大。目前官方已发…- 569
- 0
-
预警Apache Log4j < 2.8.2 SocketServer反序列化漏洞(CVE-2019-17571)
2019年12月19日,本站安全专题监测到Apache Log4j官方披露1.2系列版本的Log4j存在反序列化漏洞(CVE-2019-17571)。漏洞描述Log4j 1.2系列版本引入了一个SocketServer类,该类在处理反序列化操作时可导致任意代码执行。Log4j是最常用的apache日志开源项目,使用非常广泛。在使用Log4j的SocketServer类创建TCP或UDP Socke…- 628
- 0
-
预警Spring Boot Actuator 未授权访问远程代码执行漏洞
2019年2月28日,安全专题监测到有国外安全研究人员披露Spring Boot Actuator模块中间件存在未授权访问远程代码执行漏洞。漏洞描述Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。漏洞评级严重影响版本全版本且无安全配置安全建议禁…- 903
- 0
-
预警Apache Tomcat HTTP/2 远程拒绝服务高危漏洞
2019年3月26日,安全专题监测到Apache Tomcat近日发布安全更新,披露了1个远程拒绝服务的漏洞:CVE-2019-0199,开启HTTP/2的Apache Tomcat可被远程拒绝服务攻击。漏洞描述Apache Tomcat在实现HTTP/2时允许接受大量的SETTINGS帧的配置流量,并且客户端在没有读写请求的情况下可以长时间保持连接。如果来自客户端的连接请求过多,最终可导致服务端…- 87
- 0
-
预警Harbor 多个高危漏洞(CVE-2019-19029、CVE-2019-19026等)
2019年12月4日,本站安全专题监测到镜像仓库Harbor官方发布安全更新通告,修复了包括权限提升、SQL注入、用户枚举在内的多个高危漏洞。漏洞描述Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器。Harbor 1.8.6和1.9.3之前版本的部分接口存在权限提升、SQL注入、用户枚举等多个高危漏洞。攻击者通过构造特定请求,可利用SQL注入获取大量敏感数据,或者将低…- 521
- 0
-
安全更新框架 TUF 从 CNCF 毕业
文章转载开源中国 CNCF 近日宣布,安全更新框架 TUF 顺利毕业,成为 Kubernetes、Prometheus、Envoy、CoreDNS、containerd、Fluentd、Jaeger 与 Vitess 之后之后第九个毕业项目。 TUF 是保护软件更新系统安全的一种开源技术,它是用于保护软件进行更新的即插即用库,可以帮助开发人员保护新的或现有的软件更新系统,这些系…- 76
- 0
-
Rails 5.2.4.1 与 6.0.2.1 发布,修复漏洞
文章转载开源中国 Rails(Ruby on Rails)5.2.4.1 与 6.0.2.1 发布了,两个版本都主要是为了解决漏洞 CVE-2019-16782,这是一个信息泄漏/会话劫持漏洞,攻击者可以通过预测时间而找到并劫持会话 ID,进而发起攻击。 Rails 是一个基于 MVC 模型的 Web 应用开发框架。 以下列表分别对应 5.2.4.1 版本中每个 gem 的更新内容: A…- 53
- 0
-
红帽企业 Linux 7 和 CentOS 7 收到重要内核安全更新
文章转载开源中国 Red Hat 和 CentOS 宣布了其 Red Hat Enterprise Linux 7 和 CentOS Linux 7 操作系统系列重要内核安全更新的可用性。据悉,这些更新解决了两个安全漏洞和许多其他 bug。 具体表现为,新的 Linux 内核安全更新此次修复了 CVE-2019-14821和 CVE-2019-15239&…- 73
- 0
-
微软正在开发基于 Rust 的安全编程语言
文章转载开源中国 此前,微软表示正探索将 Rust 作为 C 和 C++ 的安全替代方案,并且也对外展示了使用 Rust 重写 Windows 组件的体验,根据微软的说法,Rust 是一种从根本上考虑安全性的编程语言,他们将尝试使用 Rust 重写各种产品,因为在过去的十年里,微软 70% 以上的安全补丁都提供了与内存相关的错误,而 Rust 正是解决这个问…- 56
- 0
-
谷歌发布 2019 年 12 月的 Android 安全补丁
文章转载开源中国 谷歌为其最新的 Android 10 移动操作系统系列发布了 2019 年 12 月的 Android 安全补丁,以解决一些最关键的安全漏洞。 由2019年12月1日和2019年12月5日安全补丁程序级别组成,2019年12月的Android安全补丁程序解决了Android组件,Android框架,媒体框架,Android系统,内核组件,以及高通的组件,包括封闭源代码的组件。 据…- 72
- 0
-
75%的开发人员担心应用程序安全性,网络安全专家仍缺乏
文章转载开源中国 Whitehat Security 研究发现,大多数开发人员都将安全性视为编码和开发过程的组成部分,但是该行为却缺乏来自安全专家的支持。 据悉,WhiteHat Security 在本周四发布了一份报告,揭示了网络安全问题与涉及应用程序的网络安全支持之间的差距。报告发现,大多数开发人员(85%)认为安全性对于编码和开发过程非常重要,而75%的开发人员则表示他们…- 61
- 0
-
谷歌和三星等公司的 Android 智能手机存在安全漏洞
文章转载开源中国 Android安全缺陷使应用程序可以访问人们的摄像机以进行秘密的视频和音频录制。 谷歌和三星等公司的Android智能手机存在安全漏洞,允许恶意应用录制视频,拍照和捕获音频,然后在未经用户许可的情况下将内容上传到远程服务器。该漏洞是由安全公司Checkmarx发现的,同时由Ars Technica重点指出。该漏洞有可能使高价值目标敞开,使其周围环境被智能手机非法记录。 据悉,利用…- 79
- 0
-
谷歌和三星等公司的 Android 智能手机存在安全漏洞
文章转载开源中国 Android安全缺陷使应用程序可以访问人们的摄像机以进行秘密的视频和音频录制。 谷歌和三星等公司的Android智能手机存在安全漏洞,允许恶意应用录制视频,拍照和捕获音频,然后在未经用户许可的情况下将内容上传到远程服务器。该漏洞是由安全公司Checkmarx发现的,同时由Ars Technica重点指出。该漏洞有可能使高价值目标敞开,使其周围环境被智能手机非法记录。 据悉,利用…- 44
- 0
-
Canonical 为 Ubuntu 发布 Linux 内核安全更新,缓解一系列 CPU 漏洞
文章转载开源中国 Canonical 为其所有受支持的 Ubuntu Linux 版本发布了一批新的 Linux 内核安全更新,以解决最新的 Intel CPU 漏洞以及其他重要缺陷。 正如前几天所宣布的那样,Canonical 迅速响应了影响英特尔 CPU 微体系结构的最新安全漏洞,因此他们现在发布了 Linux 内核更新来缓解这些漏洞。包括有 CVE-2019-11135,CVE-2…- 55
- 0
幸运之星正在降临...
点击领取今天的签到奖励!
恭喜!您今天获得了{{mission.data.mission.credit}}积分
我的优惠劵
-
¥优惠劵使用时效:无法使用使用时效:
之前
使用时效:永久有效优惠劵ID:×
没有优惠劵可用!