【威胁通告】OpenSSL拒绝服务漏洞
2017年2月16日,OpenSSL官网发布安全通告,公布了编号为CVE-2017-3733的漏洞。在1.1.0e之前版本的OpenSSL握手阶段的重协商过程中,如果协商使用Encrypt-Then-Mac扩展,会导致OpenSSL崩溃。OpenSSL的服务端和客户端都受该漏洞的影响。
【威胁通告】dotCMS SQL注入漏洞
2017年2月15日,seclists.org网站发布了关于dotCMS存在SQL注入漏洞的消息。文章称,dotCMS 3.6.1及其之前的部分版本,在“/categoriesServlet”的q和inode参数上存在SQL注入,未经身份认证的攻击者可以利用该漏洞获取敏感数据。
RSA2017见闻-不见盒子只见平台情报
虽然连续3年来,新锐厂商zscale都在砸硬件盒子。但是今年显然不能再吸引眼球,随着这几年威胁情报的兴起,通过威胁情报把各个盒子连接起来,已经成为业界的共识。今年除了Fortinet等少数厂家外,整个会场没有了盒子展示,全部是大屏平台。随着盒子逐渐变成一个情报源,这几年创新的重点转为大数据,机器学习,可视化。
IOT IN RSA2017
RSA会议2017主题为“机会的力量”。RSA大会2017总监、总经理Linda Gray,诠释的核心思想是:拥抱机会,共建生态(安全产业链)。其中共建生态的前提就是互联。考虑到各安全厂商都在自己专攻领域深入研究多年,为形成全面解决方案或”生态系统“额外投入研发资源在陌生领域与陌生领域的佼佼者一较高下,绝非为最佳的公司战略。
RSA2017 安全趋势预测
网络犯罪因其低投入高回报和技术便捷性,正逐年高速增长。回顾2016年,勒索软件、mirai、工控平台攻击等安全事件频现,给广大用户造成巨大损失的同时,也一次次刷新着安全从业者的认知。
RSA2017浅谈下一代应用及IT基础设施的安全管理模式——DevSecOps
DevSecOps是2017年美国RSA大会新出现的一个概念,大会甚至专门为这个概念和方向设置的议题和讨论会。DecSecOps是一种全新的安全理念与模式,从DecOps的概念延伸和演变而来,其核心理念安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发和运营整个业务生命周期每一个环节才能提供有效保障。
RSA2017创新沙盒冠军unifyid 安全又易用,老树开新花
2017年RSA大会的创新沙盒在选出的十家短名单的基础上,经过激烈的演讲问答环节,选出了最后的获胜者 UNIFYID。下面一起看看他们的创新点,有哪些可以学习借鉴的。
RSA2017火爆的勒索软件Ransomware防御领域
DATA,2017年USA RSA会议最热门词(参见下图)。每年RSA会议的热门词会由组委会根据参会组织所属领域、发言人提报议题内容,包含最多的领域提炼出来。DATA、CLOUD、THREAT、INTELLIGENCE等一直是近几年的热点领域,今年DATA一跃成为最热门领域。提到DATA,既有利用大数据的SIEM,又有数据的安全防护,还有进行广泛数据分析的INTELLGENCE,而今年最重要的是多了一大热点——Ransomware(勒索软件)。
【威胁通告】Adobe Flash Player多个漏洞
2017年2月14日,Adobe官网发布漏洞安全通告,影响到24.0.0.194及更早版本的Flash Player,横跨Windows、Mac、Linux和Chrome OS平台。攻击者可以利用相关漏洞让目标Flash Player崩溃,并且有可能控制受影响的操作系统。
RSA2017创新沙盒入围公司技术速览
每年的RSA大会上,创新沙盒环节是关注的焦点。每年入选此环节的安全创新公司,都代表了最近一年的安全技术创新方向,和资本关注热点。在创新沙盒环节的很多公司也成长为国际著名安全厂商,例如SourceFire,Imperva等。作为主题为“Power of opportUNITY”的RSA2017年会议,创新沙盒环节的入围公司也从侧面验证了今年的几个热门话题。
【威胁通告】TP-Link C2和C20i命令注入拒绝服务等漏洞
日前,pierrekim.github.io网站发布了一个安全通告,公布了固件版本为“0.9.1 4.2 v0032.0 Build 160706 Rel.37961n”的TP-Link C2和C20i产品的多个漏洞。漏洞包括命令注入(需要身份认证)、拒绝服务以及不安全的默认配置。