安全公告
-
2018-04-12
综述北京时间4月11日,Adobe官方发布了4月安全更新,修复了包括AdobephonesGap ColdFusion Adobe Digital Editions Adobe InDesign Adobe Experience Manager和Adobe Flash Player等产品的数个安全漏洞。 概括如下: 产品 CVE 漏洞类别 漏洞影响 严重程度 Adobe Digital Editions CVE-2018-4925 越界读取 信息泄露 Important CVE-2018-4926 栈溢出 Adobe InDesign CVE-2018-4927 未受信任的搜索
-
CVE-2018-1270:spring-messaging模块远程代码执行漏洞
2018-04-12综述 Pivotal Spring官方发布安全公告,Spring框架中存在三个漏洞其中编号为CVE-2018-1270的漏洞可导致远程代码执行。在引入且使用spring-messaging组件时攻击者可通过WebSocket向服务器端发送携带有恶意代码的STOMP报文,直接获取服务器控制权限。Pivotal Spring官方4月9日对之前发布的公告进行了部分修订,受CVE-2018-1270漏洞影响的版本修订为Spring Framework 4 3 15及5 0 4。详情请参考如下链接:http: pivotal io
-
综述近日,Auth0被曝出存在严重的身份验证绕过漏洞。该漏洞(CVE-2018-6873)源于Auth0的Legacy Lock API没有对JSON Web Tokens(JWT)的参数做合理的验证,随后可以触发一个CSRF SXRF漏洞(CVE-2018-6874)。攻击者仅需要知道用户的user ID或者email地址,就可以登录该用户任何使用Auth0验证的应用。Auth0拥有2000多家企业用户并且每天管理超过15亿次的登录验证,是最大的身份平台之一。目前Auth0已经发布更新修复了该漏洞
-
Cisco ioses/ioses XE远程代码执行漏洞(CVE-2018-0171)
2018-04-10一 漏洞概述 2018年3月28日,Cisco ioses以及ioses XE软件被发现存在一个严重漏洞CVE-2018-0171。攻击者可以在未授权的情况下通过重新加载(reload)设备造成拒绝服务条件,或者远程执行代码。Smart Install是为新的LAN以太网交换机提供零触摸部署的即插即用配置和图形管理功能,在TCP端口4786上运行的Cisco专用协议,若设备启用了Smart Install功能且对外开放4786端口,攻击者就可通过发送畸形Smart Install报文来利用此
-
2018-03-28
一 漏洞概述S2-056漏洞发生于Apache Struts2的REST插件,当使用XStream组件对XML格式的数据包进行反序列化操作,且未对数据内容进行有效验证时,攻击者可通过提交恶意XML数据对应用进行远程DoS攻击。官方通告如下:http: cwiki apache org confluence display WW S2-056二 影响范围受影响的版本Struts 2 1 1 - Struts 2 5 14 1不受影响的版本Struts 2 5 16三 解决建议ApacheStruts官方在新版本2 5 16版本中针对S2-056
-
2018-03-19
综述近日,Oracle在其官方支持站点(MOS)上发布了2篇声明,告知用户需在2019年4月前对Oracle数据库进行更新,并强调了所有11 2 0 3及以前版本的DB Links必须进行升级更新。这2篇声明并不是针对安全性问题,而是数据库版本的一次更新。下面是通告的简要解读和说明。有问题的用户,建议直接联系Oracle厂商咨询。解读根据Oracle官方发布的声明,“What we are announcing:All supported releases of Oracle Databasesn