绿盟科技技术博客

绿盟科技互联网安全威胁周报NSFOCUS-19-19

2019-05-14绿盟科技NSFOCUS-19-19, 互联网安全态势, 安全漏洞库

绿盟科技发布了本周安全通告，周报编号NSFOCUS-19-19，绿盟科技漏洞库本周新增48条，其中高危13条。本次周报建议大家关注Apache Karaf 任意文件覆盖漏洞，Apache Karaf 4.2.5之前版本存在一个漏洞，允许攻击者在受影响应用的上下文中覆写任意文件或执行任意命令。目前厂商已经提供补丁程序，请到厂商的相关页面下载补丁。

区块链应用安全研究——Dice2win安全事件分析

2019-05-13武立鑫Dice2win, 以太坊公有链, 区块链, 区块链安全, 智能合约漏洞

区块链产业目前处于快速发展的阶段，越来越多新技术应用落地的同时，很多新的安全问题也随之而来。其中，智能合约安全问题最为常见、最为灵活，其造成的损失也最不可控。Dice2win是一款基于以太坊公有链，通过智能合约实现的去中心化博彩小游戏，自小游戏发布的4个月时间里，由于智能合约漏洞，就发生了多起不同类型的攻击事件，而且事件环环相扣，损失大且不可逆。众多区块链智能合约安全事件证明，区块链应用的安全防御尤为重要。

【威胁通告】Cisco Elastic Services Controller REST API认证绕过漏洞CVE-2019-1867

2019-05-08绿盟科技cisco, CVE-2019-1867

Cisco发布公告修复了Cisco Elastic Services Controller (ESC)中的一个REST API认证绕过漏洞（CVE-2019-1867）。该漏洞是由对API请求的不正确验证造成的。攻击者可以通过向REST API发送一个精心设计的请求来利用该漏洞。

绿盟科技互联网安全威胁周报NSFOCUS-19-18

2019-05-06绿盟科技绿盟科技漏洞库

绿盟科技发布了本周安全通告，周报编号NSFOCUS-19-18，绿盟科技漏洞库本周新增36条，其中高危8条。本次周报建议大家关注Atlassian Confluence Server和Atlassian Data Center目录遍历漏洞，Confluence Server和Data Center 2.0.0到6.6.13之前、6.7.0到6.12.4之前、6.13.0到6.13.4之前、6.14.0到6.14.3之前、6.15.0到6.15.2之前版本中，存在一个路径遍历漏洞。有权向页面和/或博客添加附件、或创建新空间或个人空间、或对空间具有“管理员”权限的远程攻击者可利用此路径遍历漏洞，将文件写入任意位置，导致在运行Confluence Server或Data Center的系统上执行远程代码。目前厂商已经提供补丁程序，请到厂商的相关页面下载补丁。