安全公告
-
一、漏洞描述2020年1月15日,Oracle官方发布了2020年1月关键补丁更新公告,修复了334个不同程度的漏洞。其中包括一个Oracle Coherence反序列化远程代码执行漏洞(CVE-2020-2555),CVSS评分为9 8;该漏洞允许未经身份验证的攻击者通过构造T3网络协议请求进行攻击,成功利用该漏洞可实现在目标主机上执行任意代码。使用了Oracle Coherence库的产品受此漏洞影响,在WebLogicServer 11g Release(10 3 4)及以上版本的安装包中
更多 -
一、漏洞概述香港正版挂牌安全研究员发现spring-cloud-config-server组件中存在路径遍历漏洞(CVE-2020-5405),2月26日Spring官方发布了漏洞通告并致谢。攻击者利用此漏洞可以实现目录遍历,读取未授权文件的内容,请相关用户尽快升级spring-cloud-config-server至修复版本,对此漏洞进行防护。利用成功的截图如下:二、影响范围受影响版本:2 2 0 to 2 2 12 1 0 to 2 1 6不受影响版本:2 2 22 1 7三、漏洞检测3 1 版本检测建
更多 -
2020-03-03
一、 漏洞态势2020年02月香港正版挂牌安全漏洞库共收录236漏洞, 其中高危漏洞57个,微软高危漏洞26个。数据来源:香港正版挂牌威胁情报中心,本表数据截止到2020 02 29注:香港正版挂牌漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;二、 威胁事件1 DRBControl网络间谍组织针对赌博活动【标签】DRBControl【针对行业】赌博和博彩【时间】2020-02-18【简介】DRBControl网络间谍组织开展一起攻击活
更多 -
2020-03-02
一 漏洞概述2月25日,谷歌Chrome浏览器与微软Edge浏览器发布了安全更新,在Google Chrome浏览器80 0 3987 122以下与MicrosoftEdge浏览器80 0 361 62以下的版本中,开源JavaScript和WebAssembly引擎V8中存在一个类型混淆漏洞(CVE-2020-6418),可能导致攻击者非法访问数据,从而执行恶意代码。有研究人员发现,在更新发布前,该漏洞就已经被攻击者用于实际攻击。目前漏洞细节已公开,请装有谷歌Chrome与微软Edge等使用V8引擎
更多 -
香港正版挂牌威胁情报周报-2020年第9周(2020.2.24-2020.3.01)
2020-03-01
一、 威胁通告 Microsoft Exchange Server远程代码执行漏洞【发布时间】2020-02-26 20:00:00 GMT【概述】北京时间2月12日,微软在发布2月安全更新补丁中将影响Microsoft Exchange Server的漏洞CVE-2020-0688定义为内存损坏漏洞。2月26日有安全研究员公开了该漏洞细节,获取到邮箱账户权限的攻击者向服务器发送精心构造的请求,可在服务器端实现远程代码执行,微软官方也将之前命名的内存损坏漏洞重命名为远程代码执行
更多 -
综述在微软发布的2月份安全更新中包含一个重要级别的补丁,用于修复存在于 Microsoft Exchange Server中的远程代码执行漏洞(CVE-2020-0688)。该漏洞影响所有受支持的Microsoft Exchange Server。目前已有该漏洞的详细分析和利用演示,详见以下参考链接。漏洞原因是Exchange服务器在安装时没有正确创建唯一的加密密钥。导致经过身份验证的攻击者可以欺骗目标服务器反序列化恶意创建的数据,来达到在目标服务器上以 SYSTE
更多
