Kubernetes NGINX Ingress Controller 中的新漏洞
Kubernetes NGINX Ingress Controller 中的新漏洞 TeamsSix 火线Zone 2022-07-08 18:00 最新漏洞,原文地址:https://blog.lightspin.io/kubernetes-nginx-ingress-controller-vulnerabilities 序 言 从 2021 年 10 月开始,NGINX 的 Kubernete
继续阅读标签: 代码
苹果为Lockdown Mode 新特性推出漏洞奖励计划,最高200万美元
苹果为Lockdown Mode 新特性推出漏洞奖励计划,最高200万美元 Jessica Haworth 代码卫士 2022-07-08 17:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果为 Lockdown Mode 新特性推出安全漏洞奖励计划,旨在增强对用户监控攻击的防护。 Lockdown Mode 将在 iOS 16、iPadOS 16 和 macOS Ventura
继续阅读Fortinet 修复多个路径遍历漏洞
Fortinet 修复多个路径遍历漏洞 Adam Bannister 代码卫士 2022-07-08 17:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fortinet 修复了影响多款端点安全产品的多个漏洞。 Fortinet 为全球提供超过三分之一的防火墙和统一威胁管理产品,它在7月5日发布了大量防火墙和软件更新。 Fortinet 修复的漏洞包括位于 FortiDeceptor
继续阅读【已复现】OpenSSL RSA远程代码执行漏洞(CVE-2022-2274)安全风险通告
【已复现】OpenSSL RSA远程代码执行漏洞(CVE-2022-2274)安全风险通告 原创 QAX CERT 奇安信 CERT 2022-07-08 12:49 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到OpenSSL 官方发布OpenSSL RSA 私钥操作中的堆 内存损坏通告(CVE-2022-2274),
继续阅读攻击者利用Mitel VoIP漏洞进行勒索软件攻击
攻击者利用Mitel VoIP漏洞进行勒索软件攻击 ~阳光~ 嘶吼专业版 2022-07-08 12:00 勒索软件集团正在滥用未打补丁的基于Linux的Mitel VoIP(网络电话)应用程序,并将其作为跳板在目标系统上植入恶意软件。这个关键的远程代码执行(RCE)漏洞被追踪为CVE-2022-29499,该漏洞是Crowdstrike在4月首次报告的零日漏洞,并且现在已经打了补丁。 Mitel
继续阅读Atlassian 修复Jira 中的完全读取SSRF漏洞
Atlassian 修复Jira 中的完全读取SSRF漏洞 Adam Bannister 代码卫士 2022-07-07 18:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Atlassian 公司的热门问题追踪和项目管理软件 Jira 易受一个服务器端请求伪造 (SSRF) 缺陷影响,在无需凭据的情况下即可遭滥用。 Assetnote 公司的首席技术官兼创始人 Shubham Sh
继续阅读高危OpenSSL 漏洞可导致远程代码执行
高危OpenSSL 漏洞可导致远程代码执行 Jessica Haworth 代码卫士 2022-07-07 18:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 OpenSSL 中存在一个高危漏洞,可导致恶意人员在服务器端设备上实现远程代码执行。 OpenSSL是一款使用广泛的加密库,提供SSL 和 TLS 协议的开源实现,包括很多生成RSA密钥和执行加密和解密的工具等。 内存损坏 安
继续阅读【漏洞预警】Mitel MiVoice Connect远程代码执行漏洞
【漏洞预警】Mitel MiVoice Connect远程代码执行漏洞 SecPulse安全脉搏 2022-07-07 17:18 1. 通告信息 近日, 安识科技 A-Team团队 监测到一则 Mitel MiVoice Connect远程代码执行漏洞 的信息,该漏洞的漏洞编号 为 CVE-2022-29499 ,漏洞威胁等级:高危。由于数据验证不足, Mitel MiVoice Connect
继续阅读【安全圈】数亿网民受影响,OpenSSL又被爆高危漏洞
【安全圈】数亿网民受影响,OpenSSL又被爆高危漏洞 安全圈 2022-07-07 13:25 关键词 CNNVD、OpenSSL 近日,国家信息安全漏洞库(CNNVD)收到关于OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274)情况的报送。成功利用此漏洞的攻击者,可造成目标机器内存损坏,进而在目标机器远程执行代码。OpenSSL 3.0.4版本受漏洞影响。目
继续阅读国家漏洞库CNNVD:关于OpenSSL安全漏洞的通报
国家漏洞库CNNVD:关于OpenSSL安全漏洞的通报 安全内参 2022-07-06 19:01 关注我们 带你读懂网络安全 近日,国家信息安全漏洞库(CNNVD)收到关于OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274)情况的报送。成功利用此漏洞的攻击者,可造成目标机器内存损坏,进而在目标机器远程执行代码。OpenSSL 3.0.4版本受漏洞影响。目前,O
继续阅读【已复现】Atlassian Jira 多款产品Mobile Plugin服务端请求伪造漏洞安全风险通告
【已复现】Atlassian Jira 多款产品Mobile Plugin服务端请求伪造漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-07-06 17:19 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到Atlassian Jira 多款产品 Mobile Plugin 服务端请求伪造漏洞PoC及
继续阅读CVE-2022-2274: OpenSSL RSA 远程代码执行漏洞通告
CVE-2022-2274: OpenSSL RSA 远程代码执行漏洞通告 原创 360CERT 三六零CERT 2022-07-06 16:08 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-070601 报告来源:360CERT 报告作者:360CERT 更新日期:2022-07-06 1 漏洞简述 2022年07月06日,360CERT监测发现OpenSSL发布了CVE-2022-
继续阅读Chrome 103紧急修复已遭利用的0day
Chrome 103紧急修复已遭利用的0day Eduard Kovacs 代码卫士 2022-07-05 18:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周一,谷歌紧急修复已遭利用的0day (CVE-2022-2294)。 该漏洞是位于 WebRTC的一个堆缓冲区溢出漏洞,由Avast威胁情报团队在7月1日报告。该漏洞已在 Chrome 103.0.5060.114的Win
继续阅读Django 修复SQL注入漏洞
Django 修复SQL注入漏洞 Ax Sharma 代码卫士 2022-07-05 18:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Django 项目是基于 Python 的开源 web框架,近期它修复了位于最新版本中的一个高危漏洞CVE-2022-34265。 该漏洞是存在于 Django 主分支4.1(目前处于测试)、4.0和3.2中的一个SQL注入漏洞,目前已修复。 数万
继续阅读澳大利亚莫纳什大学推出公开漏洞奖励计划
澳大利亚莫纳什大学推出公开漏洞奖励计划 James Walker 代码卫士 2022-07-05 18:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 澳大利亚莫纳什大学推出公开漏洞奖励计划,以助力维护其数字化平台的安全性。 这项新的漏洞奖励计划托管在 Bugcrowd 平台,将为合法漏洞颁发最高2500美元的奖励。奖励目标涵盖莫纳什大学的主要 web 域名和移动应用,以及该大学使用的
继续阅读AWS:代理服务器上的远程代码执行(hackerone漏洞报告)
AWS:代理服务器上的远程代码执行(hackerone漏洞报告) 原创 樱宁 火线Zone 2022-07-05 18:00 本文为翻译文章,原文地址:https://hackerone.com/reports/401136 介绍 我在用于跟踪研究人员活动的代理服务上发现了这个远程代码执行 (RCE) 漏洞。这是我进一步了解 AWS 的机会,特别是 AWS EC2 Systems Manager
继续阅读可修补和可预防的安全漏洞成为第一季度攻击的主要原因
可修补和可预防的安全漏洞成为第一季度攻击的主要原因 关键基础设施安全应急响应中心 2022-07-04 15:30 2022年第一季度,82%的组织攻击是由受害者面向外部的攻击面中的已知漏洞引起的。这些未修补的漏洞使得由于人为错误相关的财务损失所占的比例降到了很低,后者只占18%。 这些数字来自于Tetra Defense及其季度报告,该报告揭示了2022年1月至3月期间针对美国组织的网络攻击数量
继续阅读博通Brocade漏洞影响多家大厂的存储解决方案
博通Brocade漏洞影响多家大厂的存储解决方案 Eduard Kovacs 代码卫士 2022-07-01 19:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 最近,博通 (Broadcom) 公司表示,其存储网络子公司 Brocade 提供的一些软件受多个漏洞影响,可能影响多家主流厂商的产品。 博通公司表示,Brocade SANnav 存储局域网 (SAN) 管理应用受九个漏洞
继续阅读CVE-2022-2185:GitLab 远程代码执行漏洞
CVE-2022-2185:GitLab 远程代码执行漏洞 原创 360CERT 三六零CERT 2022-07-01 16:28 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-070101 报告来源:360CERT 报告作者:360CERT 更新日期:2022-07-01 1 漏洞简述 2022年07月01日,360CERT监测发现GitLab官方发布了GitLab的风险通告,漏洞编号
继续阅读微软云服务爆容器逃逸漏洞,攻击者可接管Linux集群
微软云服务爆容器逃逸漏洞,攻击者可接管Linux集群 关键基础设施安全应急响应中心 2022-07-01 15:26 – 微软旗下应用程序托管平台Service Fabric爆出容器逃逸漏洞“FabricScape”,攻击者可以提权控制主机节点,乃至接管平台Linux集群; 微软花了 近5个月时间修复漏洞,目前已将修复程序推送至自动更新通道,未开启该平台自动更 新功能的用户需尽快更新。
继续阅读亚马逊悄悄修复安卓相册 app 中的高危漏洞
亚马逊悄悄修复安卓相册 app 中的高危漏洞 Jonathan Greig 代码卫士 2022-06-30 18:21 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 亚马逊披露称,收到研究员的漏洞报告后,在去年12月修复了 Amazon Photos Android app 中的一个高危漏洞。 网络安全公司 Checkmarx 的研究员表示从该 app 中发现了一个漏洞,可导致攻击者窃取用
继续阅读微软 Azure FabricScape 漏洞可被用于劫持 Linux 集群
微软 Azure FabricScape 漏洞可被用于劫持 Linux 集群 Sergiu Gatlan 代码卫士 2022-06-30 18:21 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软修复了 Service Fabric (SF) 应用托管平台上的一个容器逃逸漏洞 FabricScape,它可导致威胁行动者将权限提升至root,控制主机节点并攻陷整个 SF Linux 集群
继续阅读Windows UAF 漏洞CVE-2021-34486分析
Windows UAF 漏洞CVE-2021-34486分析 原创 信创安全实验室 山石网科安全技术研究院 2022-06-30 10:48 Windows事件跟踪 (ETW) 机制允许记录内核或应用程序定义的事件以进行调试。开发人员能够启动和停止事件跟踪会话,检测应用程序以提供跟踪事件,并通过调用 ETW 用户模式 Windows API 集来使用跟踪事件。最终的请求部分都是在内核 (ntosk
继续阅读CVE-2022-24521 Windows CLFS本地提权漏洞分析
CVE-2022-24521 Windows CLFS本地提权漏洞分析 原创 天元实验室 M01N Team 2022-06-29 18:00 简介 CLFS全称为Common Log File System,即通用日志文件系统,自 Windows Vista 和 Windows Server 2003 R2中被引入用于构建高性能事务日志以来,使用者可以通过CLFS提供的API对日志进行创建、存储
继续阅读美国家安全局“酸狐狸”漏洞攻击武器平台技术分析报告
美国家安全局“酸狐狸”漏洞攻击武器平台技术分析报告 安全内参 2022-06-29 15:44 关注我们 带你读懂网络安全 美国用“酸狐狸”攻击中俄,已发现中国多家科研机构受影响! 前情回顾 – 国家计算机病毒应急处理中心披露美国安局网络间谍装备! 美国主战网络攻击武器曝光:世界重要信息基础设施已成美“情报站” 近日,国家计算机病毒应急处理中心对美国家安全局(NSA)“酸狐狸”漏洞攻击
继续阅读6月,盘点您需要修复的那些API安全漏洞
6月,盘点您需要修复的那些API安全漏洞 星阑科技 2022-06-29 14:07 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 6月份的一些API安全漏洞报告 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 开放自动化软件OAS平台REST API 的RCE漏洞 漏洞详情:开放式自动化软件OAS 平台的RE
继续阅读美国国家安全局(NSA)“酸狐狸”漏洞攻击武器平台技术分析报告
美国国家安全局(NSA)“酸狐狸”漏洞攻击武器平台技术分析报告 CVERC 奇安信威胁情报中心 2022-06-29 12:51 作者:国家计算机病毒应急处理中心 以下为全文转载 近日,国家计算机病毒应急处理中心对美国家安全局(NSA)“酸狐狸”漏洞攻击武器平台(FoxAcid)进行了技术分析。该漏洞攻击武器平台是美国国家安全局(NSA)特定入侵行动办公室(TAO,也被称为“接入技术行动处”)对他
继续阅读【已复现】Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)安全风险通告
【已复现】Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)安全风险通告 原创 QAX CERT 奇安信 CERT 2022-06-29 11:45 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到Apache Shiro身份认证绕过漏洞(CVE-2022-32532)技术细节及PoC在互联网上公开
继续阅读【已复现】Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979)安全风险通告
【已复现】Spring Cloud Function 拒绝服务漏洞(CVE-2022-22979)安全风险通告 原创 QAX CERT 奇安信 CERT 2022-06-28 19:32 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到Spring Cloud Function拒绝服务漏洞(CVE-2022-22979)技
继续阅读勒索团伙利用 Mitel VoIP 0day 发动攻击
勒索团伙利用 Mitel VoIP 0day 发动攻击 Ravie Lakshmanan 代码卫士 2022-06-27 18:31 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全公司 CrowdStrike 公司指出,可疑的勒索团伙利用 Mitel VoIP 设备中的0day 漏洞 (CVE-2022-29499) 作为入口点实现远程代码执行并获得对该环境的初始访问权限。 研究员
继续阅读