安全公告
-
Apache Synapse 远程代码执行漏洞 (CVE-2017-15708)
2017-12-11综述 近日,Apache Synapse发布了新版本修复了一个远程代码执行漏洞(CVE-2017-15708)。该漏洞源于Apache Commons Collections组件,攻击者可以通过注入特制的序列化对象来远程执行代码。相关链接: http: www openwall com lists oss-security 2017 12 10 4?from=timeline http: commons apache org proper commons-collections security-reports html 受影响的版本 ApacheSynapse version < 3 0 1 不受
-
2017-12-11
综述Fastjson于今年3月份曝出一个远程代码执行漏洞,官方随后通过默认关闭autotype功能和开启黑名单解决了该漏洞,但近日有研究人员发现该黑名单存在一定限制,在开启autotype功能后可以通过改变相关类名来绕过黑名单,从而实现远程代码执行。相关链接:http: mp weixin qq com s Um28TlF6tLuPXP-PfgkpNwhttp: github com alibaba fastjson wiki security_update_20170315受影响的版本若autotype功能开启,则全版本均受影
-
综述 北京时间12月7日,微软官方发布了一则通告表示其恶意软件防护引擎(Malware Protection Engine)存在一个远程代码执行漏洞(CVE-2017-11937)。该漏洞源于防护引擎没有正确扫描特制的文件,导致内存损坏。成功利用此漏洞的攻击者可以在LocalSystem帐户的安全环境中执行任意代码并控制系统。 随后攻击者可以安装程序;查看,更改或删除数据;或者创建具有完整用户权限的新帐户。 相关链接: http: portal msrc mic
-
综述 北京时间12月7日,Apple官方发布了安全通告描述了关于macOS High Sierra 10 13 2,安全更新2017-002 Sierra和安全更新2017-005 El Capitan的安全更新内容,其中涉及若干越权访问以及代码执行的漏洞。相关链接:http: support apple com en-us HT208331更新详情lApache CVE-2017-9798适用于:macOS High Sierra 10 13 1,macOS Sierra 10 12 6,OS X El Capitan 10 11 6影响:处理恶意制作的Apache配置
-
2017-12-07
综述 近日,用于高级记录格式(ARF)和WebEx记录格式(WRF)文件的Cisco WebEx网络录制播放器中被发现存在多个漏洞。远程攻击者可以通过电子邮件或URL向用户提供恶意的ARF或WRF文件并诱使用户启动文件,从而利用这些漏洞。 利用这些漏洞可能会导致受影响的播放器崩溃,并且在某些情况下,可能允许在目标用户的系统上执行任意代码。 漏洞信息如下: Title CVE ID Cisco Bug ID Cisco WebEx Network Recording
-
2017-12-05
漏洞概述 北京时间2017年12月1日下午,Struts官方公开了REST 插件的漏洞S2-054(CVE-2017-15707)和S2-055(CVE-2017-7525)。 S2-054:该漏洞源于REST插件引用的一个过时的JSON-lib库,当请求中包含有特制的JSON payload,服务器端通过JSON-lib对数据解析时,可造成拒绝服务攻击。 S2-055:由于Struts2 框架引用的存在反序列化漏洞的Jackson组件,攻击者可在提交的json数据中嵌入恶意代码,服务器端通过Jackson组件对js