绿盟科技发布了本周安全通告,周报编号NSFOCUS-18-23, 绿盟科技漏洞库本周新增漏洞记录99条,其中高危漏洞5条。本次周报建议大家关注Git远程代码执行漏洞(CVE-2018-11235) 等,Git在实现上存在远程代码执行漏洞,该漏洞源于在用git clone时没有对submodule的文件夹命名做足够的验证。攻击者可以通过构造一个恶意的.gitmodules文件从而远程执行任意代码。目前厂商已经发布了升级补丁以修复这个安全问题,请用户及时到厂商主页下载更新。
近日Snyk的研究员公布了一个名为Zip Slip的漏洞。攻击者可以恶意构造Zip压缩文件,通过路径遍历覆盖任意文件,从而导致潜在的代码执行。Zip Slip是“任意文件覆盖”和“目录遍历”问题的结合,攻击者可以将文件解压缩到正常解压缩路径之外并覆盖敏感文件,从而等待系统或用户调用它们来实现代码执行。
当地时间6月7日,Adobe官方发布了一则安全通告,修复了Adobe Flash Player的多个漏洞,包括信息泄露和任意代码执行等。
Apache Spot 是一个基于网络流量和数据包分析,通过独特的机器学习方法,发现潜在安全威胁和未知网络攻击能力的开源方案。Apache Spot 利用开源且被优化过的解码器接入二进制网络流量数据和数据包,利用机器学习的方法(主要是LDA 算法)从网络流量中分离出可疑流量,以及特征化独特的网络流量行为。经过上下文增强、噪声过滤、白名单和启发式算法等等一系列手段,最终产生少量且准确的安全威胁事件呈现给用户。
当地时间6月6日,Cisco官方发布一则安全通告称其产品中用于认证、授权和记录(AAA)的服务存在一个严重漏洞(CVE-2018-0315)。通过该漏洞,攻击者在未授权的情况下,可以远程在受影响的设备上执行任意代码,或者造成设备的重加载导致拒绝服务条件。
当地时间6月5日,Snyk的研究员公布了一个名为Zip Slip的漏洞。通过该漏洞,攻击者可以利用一个特制的ZIP压缩文件,通过路径遍历覆盖任意文件,从而导致潜在的命令执行。
对于网络设备而言,一款好的发包工具至关重要,而目前像IXIA, Sprient等仪表厂商的发包仪表虽然好用,但是价格昂贵,那么是否有一款在功能和性能上能与仪表相当,却又是开源的工具呢,思科的TRex的给出了答案。
目前,路由器厂商测试用的都是商业的仪表,一般的性能衡量都是以PPS作为标准,而路由器很复杂,牵扯到7层的应用,而且希望能够提供一种更加真实的流场景测试,TRex应运而生,TRex是一款开源的发包工具,它跑在标准的intel处理芯片上,同时支持stateful和stateless模式,stateful可以描述L4~L7层的应用场景,而stateless主要用来进行定制包的发包。
截止到2018年6月1日,绿盟科技漏洞库已收录总条目达到39939条。本周新增漏洞记录65条,其中高危漏 洞数量6条,中危漏洞数量43条,低危漏洞数量16条。本周焦点漏洞:Microsoft ‘Win32k.sys’ 本地权限提升漏洞。Microsoft Windows的Win32k.sys组件在处理内存对象时,存在缺陷,导致特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式中运行任意代码。
近两年,物联网技术发展迅猛,各样的智能设备渐渐地走进了我们的家居生活。在众多的智能设备厂商中,小米是较早的布局智能家居生态的厂商,购买智能家居设备的用户几乎都会有一到两个小米设备。那么是否可以控制这些小米设备呢,其中过程是否会有安全风险呢?本文接下来会主要介绍这些内容。
近日,Git被发现存在一个远程代码执行漏洞(CVE-2018-11235)。目前POC已发布,链接地址:https://www.exploit-db.com/exploits/44822/?rss
Git一般部署于企业内部网络,对企业产品代码进行集中管理,因此此漏洞的利用有一定限制。但也不排除潜伏于企业内网的攻击者窃取核心代码的风险。
近日,Git被发现存在一个潜在的远程代码执行漏洞(CVE-2018-11235),该漏洞源于在用git clone时没有对submodule的文件夹命名做足够的验证,当用户在使用‘git clone –recurse-submodules’时, 攻击者可以通过构造一个恶意的.gitmodules文件从而远程执行任意代码。
前段时间,美国大型社交网络平台Twitter和Facebook均爆出信息泄露事件。这些安全事件的背后究竟发生了什么,作为普通用户应该如何防范,作为开发人员又应该从这次事件中吸取什么经验教训呢?