绿盟科技技术博客

【威胁通告】Cisco IOS&IOS XE Software CMP 远程执行代码漏洞

2017-03-30绿盟科技Cisco IOS, Cisco IOS Software, Cisco IOS&IOS XE Software, CMP-specific Telnet, IOS XE Software CMP, 绿盟科技, 远程执行代码漏洞, 集群管理协议

美国时间2017年3月17日，思科官方网站发布公告称Cisco IOS&IOS XE Software 集群管理协议(Cluster Management Protocol)存在远程执行代码漏洞（CVE-2017-3881，CNNVD-201703-840）。

恶意样本分析手册——理论篇

2017-03-28李东宏Windows内核加载器, 中断异常处理, 函数调用约定, 大小端模式, 恶意样本分析, 文件格式, 样本分析手册, 流程控制语句的识别, 调试器的原理, 进制转换, 逻辑运算1 Comment

在计算机系统中，我们是以字节为单位的，每个地址单元都对应着一个字节，一个字节为 8bit。但是在C语言中除了8bit的char之外，还有16bit的short型，32bit的long型（要看具体的编译器），另外，对于位数大于 8位的处理器，例如16位或者32位的处理器，由于寄存器宽度大于一个字节，那么必然存在着一个如何将多个字节安排的问题。

Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行技术分析与防护方案

2017-03-28田泽夏IIS 6.0远程代码执行漏洞, Microsoft Windows Server 2003 R2 IIS 6.0 漏洞, Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行, Microsoft Windows Server 2003 漏洞, R2 IIS 6.0远程代码执行漏洞, Windows Server 2003 漏洞

3月27日，Zhiniang Peng 和Chen Wu发布了关于IIS 6.0 WebDAV远程代码执行的漏洞信息（CVE-2017-7269，CNNVD-201703-1151）。该漏洞源于Microsoft Windows Server 2003 R2的IIS 6.0 中WebDAV 服务下ScStoragePathFromUrl函数存在缓冲区溢出漏洞。如果一个PROPFIND请求中包含以”If: <http://”开头的超长头部，将触发一个缓冲区溢出漏洞，攻击者可以利用此漏洞远程执行任意代码，此利用方法和2016年7-8月份爆出的方法一致。

【预警通告】Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行漏洞

2017-03-28绿盟科技IIS 6.0远程代码执行漏洞, Microsoft Windows Server 2003 R2 IIS 6.0 漏洞, Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行, Microsoft Windows Server 2003 漏洞, R2 IIS 6.0远程代码执行漏洞, Windows Server 2003 漏洞

不越底线不踩红线不碰高压线

2017-03-27张彦ICP服务商, 信息基础设施, 信息安全管理, 关键信息基础设施, 网络安全法, 非关键基础设施

2016年11月7日我国第一部网络安全法颁布。这次是以法律的形式颁发，且法律条文清晰标示出禁止准入、行政处分和判罚、刑事判罚等一系列的红线，这让笔者不禁为大家抹了一脸冷汗，因为太多的点需要注意了。

2017网络安全威胁3月月报

2017-03-24陈颐欢DDoS攻击, ddos攻击事件, 安全会议, 绿盟科技博客, 绿盟科技漏洞库, 网络安全威胁月报, 高危漏洞

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。

Apache Struts 2 Remote Code Execution Vulnerability (S2-046) Technical Analysis and Solution

2017-03-23蒋红梅Apache Struts 2 Remote Code Execution Vulnerability, Apache Struts 2 Vulnerability, EnglishVersion, Remote Code Execution Vulnerability, S2-046, Struts 2 Remote Code Execution Vulnerability

In the wee hours of March 21, Apache Struts 2 released a security bulletin, announcing a remote code execution (RCE) vulnerability in the Jakarta Multipart parser, which has been assigned CVE-2017-5638.

Dridex Banking Malware Sample Technical Analysis and Solution

2017-03-23刘鹏Dridex, Dridex Banking Malware, EnglishVersion, IBM's X-Force, Sample Introduction, Sample Technical Analysis and Solution

IBM’s X-Force security team recently discovered an updated version of Dridex, called Dridex v4. Dridex is one of the most popular banking trojans. It was first spotted in 2014 when it was viewed as the successor of GameOver ZeuS (GoZ) because it uses GoZ-related techniques. An important improvement in Dridex v4 is that it evades detection antivirus software by introducing the AtomBoming technique for malicious code injection.