【漏洞分析】Drupal 8 – CVE-2017-6926漏洞详解
近期,著名的Drupal CMS网站爆出7个漏洞,其中1个严重漏洞CVE-2017-6926,具有发表评论权限的用户可以查看他们无权访问的内容和评论,并且还可以为该内容添加评论。绿盟科技于上周发布了《 Drupal下周将发布重要安全补丁威胁预警通告 》。
本篇文章对Drupal 8 – CVE-2017-6926漏洞进行了详细分析。
【预警通告】Cisco IOS/IOS XE远程代码执行漏洞 (CVE-2018-0171)
近日,Cisco IOS以及IOS XE软件被发现存在一个严重漏洞(CVE-2018-0171)。攻击者可以在未授权的情况下通过重新加载(reload)设备造成拒绝服务条件,或者远程执行代码。该漏洞源于没有对数据包进行合理的认证,攻击者可以通过向TCP端口4786上的受影响设备发送精心设计的智能安装消息(Smart Install message)来利用此漏洞,使得设备缓冲区溢出,导致远程代码执行等后果。
【预警通告】Struts框架S2-056漏洞预警
S2-056漏洞发生于Apache Struts2的REST插件,当使用XStream组件对XML格式的数据包进行反序列化操作,且未对数据内容进行有效验证时,攻击者可通过提交恶意XML数据对应用进行远程DoS攻击。
【威胁通告】Linux内核内存破坏漏洞 (CVE-2018-8822)
近日,Linux 内核被曝出存在内存破坏漏洞(CVE-2018-8822)。漏洞源于 ncplib_kernel.c文件中的ncp_read_kernel函数,由于在进行 memcpy 操作前未对用户提供的数据执行足够的边界检查,攻击者可以构造恶意NCP通讯数据包导致受影响的设备执行任意代码,失败的攻击尝试还可能导致DoS攻击。
【预警通告】Drupal下周将发布重要安全补丁
北京时间3月23日,Drupal官方发布一则声明表示将于当地时间3月28日18:00 – 19:00(北京时间3月29日凌晨2:00 – 3:00)发布重要更新,修复一个严重的安全漏洞,涉及Drupal 7.x, 8.3.x, 8.4.x和8.5.x版本。由于该漏洞十分严重,攻击者能够极快的利用该漏洞进行攻击,因此Drupal安全团队建议用户下周预留出足够的时间完成更新升级,进行防护。
【预警通告】Bitbucket Server远程代码执行漏洞 (CVE-2018-5225)
近日,Bitbucket Server被曝出存在一个远程代码执行漏洞(CVE-2018-5225)。通过该漏洞,经过认证的用户可以通过编辑存储库中的符号链接,使用浏览器内编辑功能来远程执行代码。
【软件安全设计】安全开发生命周期(SDL)
安全开发生命周期(SDL)是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 安全应用从安全设计开始,软件的安全问题很大一部分是由于不安全的设计而引入的,微软用多年的经验总结出了安全开发生命周期(SDL),并提出了攻击面最小化、STRIDE威胁建模等多种方法辅助安全人员对软件进行安全设计。安全设计对于软件安全的重要性尤为可见。
【威胁通告】Ubuntu最新Server版本本地提权漏洞
Ubuntu最新Server版本被曝出存在一个本地提权漏洞。这个漏洞(CVE-2017-16995)已经在之前的版本中进行了修复,但在最新版本中又重新出现,攻击者通过该漏洞可以直接获取root权限。
【威胁通告】Oracle数据库版本更新升级声明
近日,Oracle在其官方支持站点(MOS)上发布了2篇声明,告知用户需在2019年4月前对Oracle数据库进行更新,并强调了所有11.2.0.3及以前版本的DB Links必须进行升级更新。
【预警通告】微软凭据安全支持提供协议(CredSSP)漏洞 (CVE-2018-0886)
微软的凭据安全支持提供协议(CredSSP)被曝存在一个漏洞(CVE-2018-0886),通过漏洞,攻击者可以控制域名服务器和网络上的其他系统。
【威胁通告】AMD芯片13个安全漏洞
以色列安全公司 CTS Labs 于当地时间周二发布了一份白皮书,其中指出 AMD 芯片中存在四类共计 13个关键安全漏洞,影响 EPYC,Ryzen,Ryzen Pro 和 Ryzen Mobile 系列处理器。