【预警通告】Joomla! 内容管理系统 LDAP注入漏洞

昨日,Joomla! 发布了新版本3.8.0,其中修复了一个存在多达8年之久的LDAP注入漏洞,该漏洞影响3.7.5及其之前的所有版本。通过该漏洞,攻击者可以通过盲注(blind injection)的技巧来获取管理员账户密码,从而控制配整个Joomla!。使用版本1.5至3.7.5并且配置了LDAP验证的Joomla!均受该漏洞影响。

阅读全文 “【预警通告】Joomla! 内容管理系统 LDAP注入漏洞” »

【预警通告】Apache Tomcat 远程代码执行漏洞(CVE-2017-12615)(带解决方案)

9月19日晚,Apache Tomcat官方发布了一条安全公告,该公告指出Windows上的Apache Tomcat如果开启PUT方法支持则可能存在远程代码执行漏洞,漏洞编号为CVE-2017-12615。攻击者可以在使用该漏洞上传JSP文件,从而导致远程代码执行。

阅读全文 “【预警通告】Apache Tomcat 远程代码执行漏洞(CVE-2017-12615)(带解决方案)” »

【漏洞分析】当git遇上ssh——CVE-2017-1000117漏洞浅析

Git是一个开源的分布式版本控制系统,主要用于项目管理。

而SSH是一种应用层的安全通信协议,最常用的就是为通信双方在在不安全网络上提供安全的远程登录。

当他们二者相遇会发生什么有趣的事呢?这里以CVE-2017-1000117漏洞为例,简要剖析该漏洞的成因及防护方法。

阅读全文 “【漏洞分析】当git遇上ssh——CVE-2017-1000117漏洞浅析” »