【威胁通告】Oracle Database产品漏洞CVE-2018-3110

近日,Oracle官方独立发送了一封“安全警告”邮件给所有Oracle用户,并告知用户一个Oracle Database高危漏洞CVE-2018-3110。该漏洞存在于Oracle数据库服务器的Java VM组件中,经过身份验证的远程攻击者可以利用来控制产品并建立对底层服务器的shell访问权限。

绿盟科技互联网安全威胁周报NSFOCUS-18-32

绿盟科技发布了本周安全通告,周报编号NSFOCUS-18-32, 绿盟科技漏洞库 本周新增108条,其中高危18条。本次周报建议大家关注Linux kernel ‘tcp_input.c’远程拒绝服务漏洞等,远程攻击者可以利用此漏洞通过在正在进行的TCP会话中发送特别修改的数据包来触发函数调用,这可能导致CPU饱和,从而导致系统上的拒绝服务。目前厂商已经发布了升级补丁以修复这个安全问题,请用户及时到厂商的主页下载。

【事件分析】No.8 主流中的非主流 SQL注入攻击

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。

Jenkins漏洞处置建议CVE-2018-1999001,CVE-2018-1999002

北京时间7月18日,Jenkins官方发布安全通告,修复了7个漏洞,其中包括一个严重漏洞(CVE-2018-1999001,Jenkins 配置文件路径改动导致管理员权限开放漏洞)和一个高危漏洞(CVE-2018-1999002,任意文件读取漏洞)。为保证Jenkins服务器的安全及其存储代码和构建过程数据的安全,强烈建议相关企业将Jenkins升级至最新版本。