【预警通告】Apache Struts2 远程代码执行漏洞 绿盟科技发布免费扫描工具及产品升级包
Apache Structs2的Jakarta Multipart parser插件存在远程代码执行漏洞,漏洞编号为CVE-2017-5638。攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。
Apache Structs2的Jakarta Multipart parser插件存在远程代码执行漏洞,漏洞编号为CVE-2017-5638。攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。
近日,WordPress的多个插件曝出漏洞,漏洞类型包括跨站脚本,SQL注入等。其中NextGEN Gallery插件的SQL注入影响上百万用户,允许未经身份认证的攻击者获取数据库中包括用户信息在内的敏感数据,NextGEN Gallary插件已经发布修复补丁。
2015年绿盟科技发布了《2015绿盟科技软件定义安全SDS白皮书》[1],阐述了软件定义安全的起源与发展。那么2016年业界在软件定义安全领域发生了什么变化,又有什么新的动态呢?本文将以去年的白皮书作为背景,重点阐述了2016年软件定义安全这一理念在行业内的发展情况,以及具体在落地过程中的实践。
近日,谷歌再一次曝出微软未及时修补的漏洞,漏洞编号为CNNVD-201702-882,影响IE 11和Edge浏览器,该漏洞会导致浏览器崩溃并且可能导致远程代码执行。
2017年2月16日,OpenSSL官网发布安全通告,公布了编号为CVE-2017-3733的漏洞。在1.1.0e之前版本的OpenSSL握手阶段的重协商过程中,如果协商使用Encrypt-Then-Mac扩展,会导致OpenSSL崩溃。OpenSSL的服务端和客户端都受该漏洞的影响。
2017年2月15日,seclists.org网站发布了关于dotCMS存在SQL注入漏洞的消息。文章称,dotCMS 3.6.1及其之前的部分版本,在“/categoriesServlet”的q和inode参数上存在SQL注入,未经身份认证的攻击者可以利用该漏洞获取敏感数据。
虽然连续3年来,新锐厂商zscale都在砸硬件盒子。但是今年显然不能再吸引眼球,随着这几年威胁情报的兴起,通过威胁情报把各个盒子连接起来,已经成为业界的共识。今年除了Fortinet等少数厂家外,整个会场没有了盒子展示,全部是大屏平台。随着盒子逐渐变成一个情报源,这几年创新的重点转为大数据,机器学习,可视化。
网络犯罪因其低投入高回报和技术便捷性,正逐年高速增长。回顾2016年,勒索软件、mirai、工控平台攻击等安全事件频现,给广大用户造成巨大损失的同时,也一次次刷新着安全从业者的认知。
2017年2月14日,Adobe官网发布漏洞安全通告,影响到24.0.0.194及更早版本的Flash Player,横跨Windows、Mac、Linux和Chrome OS平台。攻击者可以利用相关漏洞让目标Flash Player崩溃,并且有可能控制受影响的操作系统。
日前,pierrekim.github.io网站发布了一个安全通告,公布了固件版本为“0.9.1 4.2 v0032.0 Build 160706 Rel.37961n”的TP-Link C2和C20i产品的多个漏洞。漏洞包括命令注入(需要身份认证)、拒绝服务以及不安全的默认配置。
WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统来使用。
春节前,有超过34000多台存在安全风险的MongoDB数据库遭到了勒索攻击,数据库数据被攻击者擦除并索要赎金,在收到赎金后攻击者才会返还服务器中的数据;紧接着,2017年1月18日,在短短几个小时内又有数百台ElasticSearch服务器受到了勒索攻击,服务器中的数据被擦除,并被索要赎金。