月度归档： 2024 年 3 月

【风险提示】天融信关于liblzma/xz库5.6.0、5.6.1版本后门事件（CVE-2024-3094）的风险提示 天融信应急响应 天融信阿尔法实验室 2024-03-30 17:24 0x00 背景介绍 3月29日，Openwall 邮件列表中公布了名为 XZ Utils 的流行软件包中的后门。涉及混淆恶意代码的供应链攻击 。 0x01 漏洞描述 开发人员表示此次涉及一个名为 liblzma

【漏洞通告】XZ-Utils供应链后门漏洞（CVE-2024-3094） 原创 NS-CERT 绿盟科技CERT 2024-03-30 14:41 通告编号:NS-2024-0011 2024-03-30 TAG： liblzma/xz、后门漏洞、CVE-2024-3094 漏洞危害： 攻击者利用此漏洞，可实现SSH未授权访问。 版本： 1.0 1 漏洞概述 近日，绿盟科技CERT监测到安全社区披

liblzma/xz库被植入后门影响SSH事件紧急通告（CVE-2024-3094） 奇安信CERT 奇安信威胁情报中心 2024-03-30 11:27 后门事件： XZ是类Unix操作系统上的一种无损数据压缩格式，通常与gzibzip2 等其他常见数据压缩格式进行比较。 XZ Utils是一个命令行工具，包含XZ文件和liblzma的压缩和解压缩功能，liblzma是一种用于数据压缩的类似zl

Exchange攻防系列之CVE-2019-1040分析 原创 chuxin 青藤智库 2024-03-29 18:00 Exchange基础 我们在进行渗透时会发现拿到Exchange 服务器权限之后就可以拥有域管权限或者可以拿到域管权限，那么为什么Exchange这么 神奇，我们从Exchange 原理、漏洞产生原理和场景利用等方面进行系统分析。 因为安装Exchange的时候是需要域管才可以

NIST 成立新联盟来运营美国家漏洞数据库（NVD） 安全客 2024-03-29 16:34 美国国家标准与技术研究院 (NIST) 正式宣布将把世界上使用最广泛的软件漏洞存储库的部分管理工作移交给行业联盟。 NIST 是美国商务部的一个机构，于 2005 年推出了美国国家漏洞数据库 (NVD) 并一直运营至今。 这种情况预计会发生变化，数据库最早从 2024 年 4 月开始将交由经过审查的组织