山石网科信创安全实验室获USRC漏洞致谢
山石网科信创安全实验室获USRC漏洞致谢 原创 技术领先的 山石网科安全技术研究院 2023-05-10 10:08 今年到目前为止,山石网科安全技术研究院信创安全实验室的多位安全研究员多次为统信安全应急响应中心(USRC)提交安全漏洞报告,漏洞涉及到多个UOS应用,包含内存破坏、空指针引用等多种漏洞类型。 山石信创安全实验室致力于国产化软硬件产品的安全研究工作,自成立以来挖掘过诸多的信创产
继续阅读月度归档: 2023 年 5 月
云安全案例11: 溯源分析黑客如何利用Oracle云基础设施Attachme漏洞无需授权访问和篡改任意租户的存储卷
云安全案例11: 溯源分析黑客如何利用Oracle云基础设施Attachme漏洞无需授权访问和篡改任意租户的存储卷 原创 debugeeker 奶牛安全 2023-05-10 08:05 2022年6 月,wiz 工程师发现并报告了Oracle云基础设施(OCI) 中的一个主要云隔离漏洞#AttachMe,促使 Oracle 在数小时内修补该漏洞,而无需客户采取行动。 – 潜在影响:在
继续阅读【漏洞通告】GitLab代码执行漏洞CVE-2023-2478
【漏洞通告】GitLab代码执行漏洞CVE-2023-2478 深瞳漏洞实验室 深信服千里目安全技术中心 2023-05-09 20:08 漏洞名称: GitLab代码执行漏洞(CVE-2023-2478) 组件名称: GitLab 影响范围: 15.4.0 ≤ GitLab CE/EE < 15.9.7, 15.10.0 ≤ GitLab CE/EE < 15.10.6, 15.11
继续阅读【安全圈】苹果数据传输面临漏洞威胁: 新的Wireshark剖析器揭开面纱
【安全圈】苹果数据传输面临漏洞威胁: 新的Wireshark剖析器揭开面纱 安全圈 2023-05-09 19:02 关键词 黑客 新的Wireshark Dissector在社区内引发了极大的兴趣和讨论,研究人员对苹果数据传输过程的安全性表示担忧。黑客可能试图抓取包含与苹果iOS和iOS用户数据相关的敏感信息的网络数据包。 这种潜在的安全风险导致了一种新的Continuity Wireshark
继续阅读CVE-2023-2478:GitLab代码执行漏洞通告
CVE-2023-2478:GitLab代码执行漏洞通告 原创 360CERT 三六零CERT 2023-05-09 18:23 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-144 报告来源:360CERT 报告作者:360CERT 更新日期:2023-05-08 1 漏洞简述 2023年05月08日,360CERT监测发现GitLab发布了CE/EE的风险通告,漏洞编号为CV
继续阅读ZEEKRSRC挑战信 | 单个漏洞最高奖励2w
ZEEKRSRC挑战信 | 单个漏洞最高奖励2w ZEEKRSRC 看雪学苑 2023-05-09 18:03
继续阅读深度解析DARPA网络安全漏洞发现计划HARDEN
深度解析DARPA网络安全漏洞发现计划HARDEN 网络安全应急技术国家工程中心 2023-05-09 14:28 2023年2月,英特尔(Inter)公司官方宣布称,英特尔和加州大学圣地亚哥分校(UC San Diego)已被选中加入美国国防高级研究计划局(DARPA)的“强化开发工具链防御紧急执行引擎”,(Hardening Development Toolchains Against Eme
继续阅读漏洞风险提示 | Gitlab CE&EE GraphQL添加恶意Runner漏洞
漏洞风险提示 | Gitlab CE&EE GraphQL添加恶意Runner漏洞 长亭技术沙盒 黑伞安全 2023-05-09 10:18 长亭漏洞风险提示 Gitlab CE&EE GraphQL 添加恶意Runner漏洞 Gitlab是一款开源的代码管理平台,基于Ruby On Rails构建。该平台提供源代码管理、代码审核、问题跟踪、持续集成等功能。它能帮助开
继续阅读乔治梅森大学|隐匿在commit中的安全漏洞(DSN 2019)
乔治梅森大学|隐匿在commit中的安全漏洞(DSN 2019) 原创 童话 安全学术圈 2023-05-08 23:31 原文作者:Xinda Wang, Kun Sun, Archer Batcheller, Sushil Jajodia原文连接:https://csis.gmu.edu/ksun/publications/secretpatch-dsn19.pdf发表会议:2019 49th
继续阅读Linux Kernel权限提升漏洞CVE-2023-0386
Linux Kernel权限提升漏洞CVE-2023-0386 深瞳漏洞实验室 深信服千里目安全技术中心 2023-05-08 21:28 漏洞名称: Linux Kernel权限提升漏洞(CVE-2023-0386) 组件名称: Linux Kernel 影响范围: 5.11-rc1 ≤ Linux Kernel ≤ 6.2-rc5 漏洞类型: 权限提升 利用条件: 1、用户认证:低权限用户 2
继续阅读严重的西门子 RTU 漏洞可导致电网不稳定
严重的西门子 RTU 漏洞可导致电网不稳定 Eduard Kovacs 代码卫士 2023-05-08 17:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专为能源行业设计的西门子工控系统 (ICS) 中存在一个严重漏洞 (CVE-2023-28489),可导致恶意黑客破坏电网的稳定性。 该漏洞影响 Sicam A8000 CP-8031和CP-8050 产品的 CPCI85固件,可
继续阅读WordPress 热门插件中存在漏洞,200多万网站受影响
WordPress 热门插件中存在漏洞,200多万网站受影响 Ravie Lakshmanan 代码卫士 2023-05-08 17:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 WordPress 热门插件 Advanced Custom Fields 中存在一个漏洞,用户需升级至版本 6.1.6。该漏洞的编号是CVE-2023-30777。 该漏洞是反射型XSS,可滥用于将任意可
继续阅读上周关注度较高的产品安全漏洞(20230424-20230507)
上周关注度较高的产品安全漏洞(20230424-20230507) 原创 CNVD CNVD漏洞平台 2023-05-08 16:01 一、境外厂商产品漏洞 1、RIOT-OS缓冲区溢出漏洞 RIOT-OS是一个支持物联网设备的操作系统,包含一个能够处理6LoWPAN帧的网络堆栈。RIOT-OS 2022.10之前的版本存在缓冲区溢出漏洞,攻击者可以利用该漏洞执行任意代码。 参考链接: https
继续阅读GitLab代码执行漏洞(CVE-2023-2478)安全风险通告
GitLab代码执行漏洞(CVE-2023-2478)安全风险通告 奇安信 CERT 2023-05-08 15:37 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Gitlab是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理,同时可以搭建Web服务。 近日,奇
继续阅读阿里云数据库漏洞分析与思考
阿里云数据库漏洞分析与思考 黑伞安全 2023-05-07 19:29 一. 概述 近日,云安全公司Wiz披露了阿里云数据库服务ApsaraDB RDS for PostgreSQL和AnalyticDB for PostgreSQL的一连串严重漏洞。这些漏洞被Wiz命名为“BrokenSesame”,允许攻击者突破租户的隔离保护机制,从而未授权访问其他阿里云客户的PostgreSQL数据库,并
继续阅读【安全圈】8220 利用 Log4Shell 漏洞进行挖矿
【安全圈】8220 利用 Log4Shell 漏洞进行挖矿 安全圈 2023-05-07 19:01 关键词 漏洞 研究人员近日发现 8220 组织正在利用 Log4Shell 漏洞攻击 VMware Horizon 服务器,以便后续进行挖矿获利。受攻击的目标系统中包含韩国能源企业,由于系统存在漏洞且未打补丁,就被攻击者集火攻击。 Log4Shell(CVE-2021-44228)是 Java 日
继续阅读直播预告 | 今晚7点!系统0day安全-Linux内核初探
直播预告 | 今晚7点!系统0day安全-Linux内核初探 小雪 看雪学苑 2023-05-07 17:59 快来预约 *声明:针对未购课用户,观看视频号完整直播均需付费 系统0day安全:Linux内核初探 时间:5月7日(周日)19点 *点击图片查看详情 球分享 球点赞 球在看
继续阅读漏洞风险提示 | Linux 本地提权漏洞 CVE-2023-0386
漏洞风险提示 | Linux 本地提权漏洞 CVE-2023-0386 长亭安全应急响应中心 2023-05-06 18:45 长亭漏洞风险提示 Linux 本地提权漏洞 CVE-2023-0386 近日,长亭科技监测到有关于 Linux 本地提权漏洞的细节在网络上公开,漏洞编号为 CVE-2023-0386,CVSS评分7.8。 漏洞描述 该问题出现在用户从一个nosuid挂载点复
继续阅读【漏洞通告】Linux OverlayFS权限提升漏洞(CVE-2023-0386)
【漏洞通告】Linux OverlayFS权限提升漏洞(CVE-2023-0386) 原创 NS-CERT 绿盟科技CERT 2023-05-06 17:17 通告编号:NS-2023-0021 2023-05-06 TAG: Linux、OverlayFS、权限提升、CVE-2023-0386 漏洞危害: 攻击者利用漏洞可实现权限提升 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测发现
继续阅读CVE-2023-0386:Linux Kernel 权限提升漏洞通告
CVE-2023-0386:Linux Kernel 权限提升漏洞通告 原创 360CERT 三六零CERT 2023-05-06 17:14 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-139 报告来源:360CERT 报告作者:360CERT 更新日期:2023-05-06 1 漏洞简述 2023年05月06日,360CERT监测发现Linux发布了Kernel的风险通告,
继续阅读OpenAI 账户验证流程存在漏洞,可导致用户无限薅羊毛
OpenAI 账户验证流程存在漏洞,可导致用户无限薅羊毛 Ionut Arghire 代码卫士 2023-05-06 16:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Checkmarx 公司指出,OpenAI 的账户验证流程中存在一个漏洞,可导致任何人使用同一个电话号码注册新账户后,获得无限制的服务额度。 作为人工智能公司,OpenAI 已在几个月来成为媒体焦点,而 ChatGP
继续阅读Fortinet 修复FortiADC 和 FortiOS 中的多个高危漏洞
Fortinet 修复FortiADC 和 FortiOS 中的多个高危漏洞 Ionut Arghire 代码卫士 2023-05-06 16:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,Fortinet 月度安全更新修复了位于多款产品中的九个漏洞,其中两个是位于 FortiADC、FortiOS 和 FortiProxy 中的高危漏洞。 CVE-2023-27999最为严重
继续阅读【已复现】Linux Kernel 权限提升漏洞安全风险通告
【已复现】Linux Kernel 权限提升漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-05-06 15:40 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 近日,奇安信CERT监测到Linux Kernel 权限提升漏洞(CVE-2
继续阅读针对ChatGPT的隐私提取攻击:多步骤越狱漏洞
针对ChatGPT的隐私提取攻击:多步骤越狱漏洞 网络安全应急技术国家工程中心 2023-05-06 14:48 摘要 随着大型语言模型(LLM)的快速发展,许多下游的 NLP 任务都可以在友善的提示(即Prompt,是用户或程序向LLM AI 提供的输入或查询)下得到很好的解决。尽管模型开发人员和研究人员在对话安全性方面做了大量工作以避免从语言模型生成有害文字,但要引导 AI 生成内容 (AIG
继续阅读独家:Illumina测序仪再次爆出安全漏洞,可能导致结果篡改、泄露
独家:Illumina测序仪再次爆出安全漏洞,可能导致结果篡改、泄露 网络安全应急技术国家工程中心 2023-05-06 14:48 全球视野,深度视角 各位股东,大家早上好中午好下午好晚上好。 感谢各位股东的倾情付出,咱们MGI的文章阅读量已经突破了1w+! 这对于咱们一个创办不久的小小自媒体来说,是一个重要的里程碑。 也感谢一路走来各位股东的不离不弃,谢谢大家!希望大家在接下来的假期好好玩玩,
继续阅读【安全圈】OpenAI 曝新漏洞,允许新用户“无限试用”
【安全圈】OpenAI 曝新漏洞,允许新用户“无限试用” 安全圈 2023-05-05 18:48 关键词 漏洞 通过该漏洞,用户可以免费获得无限的信用额度来测试不同的OpenAI项目,包括ChatGPT。 不久前,OpenAI 为了让用户尝试其他开放的人工智能项目,特意为新用户提供了免费的信用积分额度(约7美元)。随后网络安全公司Checkmarx表示,目前发现了一个漏洞,允许用户滥用试用,并在
继续阅读研究员在微软 Azure API 管理服务中发现3个漏洞
研究员在微软 Azure API 管理服务中发现3个漏洞 Ravie Lakshmanan 代码卫士 2023-05-05 17:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软 Azure API 管理服务中存在三个新漏洞,可用于获得敏感信息或后端服务的访问权限。 以色列安全公司 Ermetic 提到,在这三个漏洞中,两个是服务器端伪造 (SSRF) 漏洞,一个是位于 API 管
继续阅读思科电话适配器易受 RCE 攻击,目前无修复方案
思科电话适配器易受 RCE 攻击,目前无修复方案 Bill Toulas 代码卫士 2023-05-05 17:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科披露了 SPA112 2-Port 电话适配器 web 管理接口中的一个漏洞 (CVE-2023-20126),它可导致未认证远程攻击者在设备上执行任意代码。 该漏洞是严重级别的漏洞,CVSS评分为9.8,是由固件升级功能中
继续阅读【漏洞通告】Apache CouchDB信息泄露漏洞CVE-2023-26268
【漏洞通告】Apache CouchDB信息泄露漏洞CVE-2023-26268 深瞳漏洞实验室 深信服千里目安全技术中心 2023-05-04 20:22 漏洞名称: Apache CouchDB信息泄露漏洞(CVE-2023-26268) 组件名称: Apache CouchDB 影响范围: Apache CouchDB 3.3.x < 3.3.2 Apache CouchDB 3.2.
继续阅读黑客正在利用 TBK DVR 设备中五年未修复的 0day
黑客正在利用 TBK DVR 设备中五年未修复的 0day Ravie Lakshmanan 代码卫士 2023-05-04 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 FortiGuard Labs 发布安全公告指出,威胁行动者们正在利用影响 TBK 数字化视频记录 (DVR) 设备的一个未修复漏洞 (CVE-2018-9995)。该漏洞已存在五年之久。 CVE-2018-
继续阅读