安全公告
-
综述近日,Auth0被曝出存在严重的身份验证绕过漏洞。该漏洞(CVE-2018-6873)源于Auth0的Legacy Lock API没有对JSON Web Tokens(JWT)的参数做合理的验证,随后可以触发一个CSRF SXRF漏洞(CVE-2018-6874)。攻击者仅需要知道用户的user ID或者email地址,就可以登录该用户任何使用Auth0验证的应用。Auth0拥有2000多家企业用户并且每天管理超过15亿次的登录验证,是最大的身份平台之一。目前Auth0已经发布更新修复了该漏洞
更多 -
Cisco IOS/IOS XE远程代码执行漏洞(CVE-2018-0171)
2018-04-10
一 漏洞概述 2018年3月28日,Cisco IOS以及IOS XE软件被发现存在一个严重漏洞CVE-2018-0171。攻击者可以在未授权的情况下通过重新加载(reload)设备造成拒绝服务条件,或者远程执行代码。Smart Install是为新的LAN以太网交换机提供零触摸部署的即插即用配置和图形管理功能,在TCP端口4786上运行的Cisco专用协议,若设备启用了Smart Install功能且对外开放4786端口,攻击者就可通过发送畸形Smart Install报文来利用此
更多 -
2018-03-28
一 漏洞概述S2-056漏洞发生于Apache Struts2的REST插件,当使用XStream组件对XML格式的数据包进行反序列化操作,且未对数据内容进行有效验证时,攻击者可通过提交恶意XML数据对应用进行远程DoS攻击。官方通告如下:https: cwiki apache org confluence display WW S2-056二 影响范围受影响的版本Struts 2 1 1 - Struts 2 5 14 1不受影响的版本Struts 2 5 16三 解决建议ApacheStruts官方在新版本2 5 16版本中针对S2-056
更多 -
2018-03-19
综述近日,Oracle在其官方支持站点(MOS)上发布了2篇声明,告知用户需在2019年4月前对Oracle数据库进行更新,并强调了所有11 2 0 3及以前版本的DB Links必须进行升级更新。这2篇声明并不是针对安全性问题,而是数据库版本的一次更新。下面是通告的简要解读和说明。有问题的用户,建议直接联系Oracle厂商咨询。解读根据Oracle官方发布的声明,“What we are announcing:All supported releases of Oracle Databasesn
更多 -
2018-03-19
综述 Ubuntu最新Server版本被曝出存在一个本地提权漏洞。这个漏洞(CVE-2017-16995)已经在之前的版本中进行了修复,但在最新版本中又重新出现,攻击者通过该漏洞可以直接获取root权限漏洞利用效果如下图:目前ubuntu官方还没有发布补丁更新。受影响的版本 目前已知:l Ubuntu 16 04 4 (官方最新版本)解决方案 目前Ubuntu官方暂时没有发布补丁,请用户持续关注,以便及时更新进行防护。参考链接https: usn ubuntu com
更多 -
微软凭据安全支持提供协议(CredSSP)漏洞 (CVE-2018-0886)
2018-03-15
综述 微软的凭据安全支持提供协议(CredSSP)被曝存在一个漏洞(CVE-2018-0886),通过漏洞,攻击者可以控制域名服务器和网络上的其他系统。 该漏洞源于CredSSP中的一处加密逻辑问题,当客户端计算机和服务器通过远程桌面协议(RDP)和Windows远程管理(WinRM)连接协议彼此验证时,攻击者可以通过中间人攻击(man-in-the-middle)来利用该漏洞。微软已经在昨日发布的3月份更新中解决了这个问题。 相关链接: https: supp
更多
