【预警通告】BadTunnel超级漏洞威胁预警通告
2016年6月15日,微软发布了6月安全更新,其中有一个高危漏洞被修复,此漏洞能够影响从Windows 95到Windows10所有版本的操作系统,可能为Windows漏洞史上影响范围最广的漏洞。
2016年6月15日,微软发布了6月安全更新,其中有一个高危漏洞被修复,此漏洞能够影响从Windows 95到Windows10所有版本的操作系统,可能为Windows漏洞史上影响范围最广的漏洞。
昨天pkav发布了一个关于S2-037(CVE-2016-4438)的漏洞分析(好像是他们提交的?),和S2-033一样也是关于rest插件导致method变量被篡改造成的远程代码执行漏洞,而且不需要开启动态方法调用便可利用。之前因为手边琐碎的事情不断,而且感觉rest插件配置有点麻烦,就没有跟S2-033这个鸡肋。但是没想到居然还有后续,这次是想偷懒也没得躲了╮(╯▽╰)╭,下面就让我们来看看这个漏洞到底是个什么玩意儿~~
Apache Struts2在使用REST插件的情况下,攻击者使用REST调用恶意表达式可以远程执行代码。该漏洞编号为CVE-2016-4438,定名S2-037。该漏洞和S2-033漏洞触发流程基本一致,都是在ActionMapping中methodName带入到OGNL表达式中执行,从而导致任意代码执行。你还在担心无法快速确认自己的业务是否安全吗?WVSS和RSAS 助你快速确认风险。
2016年5月12日,Apache官方发布安全通告S2-033(CVE-2016-3087),在开启动态方法调用(Dynamic Method Invocation)的情况下,攻击者使用REST插件调用恶意表达式可以远程执行代码。
2016年6月2日,ICS-CERT通报独立研究员Maxim Rupp于2015年2月18日发现了在Environmental Systems Corporation(ESC)8832存在远程越权使用漏洞。ESC表示设备中没有多余的空间做额外的安全补丁,所以固件更新是不可能了。
该设备主要用于能源部门,尤其是石油和天然气领域,用于校准并开关气管电磁阀以及其它ICS/SCADA设备。
通过互联网信息了解到,已经发现有电厂使用了此设备,攻击者可以利用该漏洞远程控制电厂系统。
此漏洞编号为CVE-2016-4502,ICS-CERT定名为ICSA-16-147-01。
Apache Structs2在开启动态方法调用(Dynamic Method Invocation)的情况下,攻击者使用REST插件调用恶意表达式可以远程执行代码。此漏洞编号为CVE-2016-3087,定名为S2-033。
目前所有版本的GraphicsMagick和ImageMagick都支持打开文件,当文件名的第一个字符为“|”,则文件名会被传递给shell程序执行,导致(可能远程)代码执行。
文件打开操作位于源代码文件blob.c中的OpenBlob()函数,不同于CVE-2016-3714的是,此漏洞存在于软件处理的核心代码中。
随着社交平台的发展,黑客也逐步将注意力集中在该领域,越来越多的脆弱性被发现,例如数据泄露,诈骗或者其他攻击。
领英 (LinkedIn) 为全球最大职业社交网站,会员遍布 200 多个国家和地区,总数超过四亿人,致力于向全球职场人士提供沟通平台,并协助他们在职场事半功倍,发挥所长。加入后,可浏览会员资料、在招职位、行业消息、人脉圈动态和对您职业技能有帮助的相关信息。
一个配置不当导致CouchDB数据库存在未授权访问漏洞,数据信息全部泄露,由于CouchDB的特性可能导致系统命令执行,目前已经被批量利用了!
2016年5月10日,Adobe公司宣布了一个已被利用的Flash Player零日漏洞,这个严重的漏洞编号为CVE-2016-4117,影响到21.0.0.226及更早版本的Flash Player,横跨Windows、Mac、Linux和Chrome OS平台。攻击者可以利用此漏洞让目标Flash Player崩溃,并且有可能控制受影响的操作系统。
今天圈子里又将一个漏洞炒到了高点,Docker Remote API未授权访问漏洞,之前这个漏洞就存在,只不过没有在内部被大肆公开而已。可能之前关注这部分的人并不集中,这个方法在圈子内也被看做“一个新姿势”,漏洞的影响直接可以获取服务器的ROOT权限,影响结果可想而知。
根据路透社报道,黑客正在黑市上交易高达272,300,000条被盗的邮件账户用户名和密码,其中57,000,000条俄罗斯Mail.ru邮件账户、40,000,000雅虎邮件账户、33,000,000条hotmail邮件账户以及24,000,00条Gmail邮件账户。
另外,其中还包含成千上万的德国和中国的电子邮件账户,以及数以千计的涉及美国银行业、制造业和零售业公司员工的用户名和密码组合。