专题·漏洞治理 | 践行总体国家安全观,推动网络安全漏洞治理体系建设
专题·漏洞治理 | 践行总体国家安全观,推动网络安全漏洞治理体系建设 原创 曹明 任望 中国信息安全 2022-07-14 19:23 扫码订阅《中国信息安全》杂志 邮发代号 2-786 征订热线:010-82341063 文│中国信息安全测评中心 曹明 任望 自诞生以来,漏洞就是黑客攻击的主要武器来源、网络安全的防护焦点、攻守对抗的核心所在。漏洞对于网络空间的安全举足轻重。对漏洞的管理,我国一直
继续阅读标签: 信息泄露
2022 CWE Top 25年度常见软件漏洞榜单
2022 CWE Top 25年度常见软件漏洞榜单 原创 安全技术研究院 山石网科安全技术研究院 2022-07-13 11:28 2022年6月28日,MITRE发布了2022 常见软件缺陷(CWE)前25个最危险的软件漏洞列表。该列表展示了当前最常见和最有影响力的漏洞。这些漏洞极其容易被发现利用,并可能导致攻击者完全接管系统、窃取数据或阻止应用程序运行等。CWE Top 25 能够为软件
继续阅读微软2022年7月补丁日多产品安全漏洞风险通告
微软2022年7月补丁日多产品安全漏洞风险通告 原创 QAX CERT 奇安信 CERT 2022-07-13 10:36 奇安信CERT 致力于 第一时间为企业级用户提供安全风险 通告 和 有效 解决方案。 通告摘要 本 月,微软共发布了84个漏洞的补丁程序,修复了Windows Network File System、Windows CSRSS、Active Directory Federat
继续阅读上周关注度较高的产品安全漏洞(20220704-20220710)
上周关注度较高的产品安全漏洞(20220704-20220710) 国家互联网应急中心CNCERT 2022-07-12 17:35 一、境外厂商产品漏洞 1、 IBM App Connect Enterprise Certified Container拒绝服务漏洞 IBM App Connect Enterprise是美国IBM公司的一个操作系统。IBM App Connect Enterpri
继续阅读演讲议题巡展|自动化API漏洞Fuzz实战
演讲议题巡展|自动化API漏洞Fuzz实战 原创 周阳&吕竭 KCon 黑客大会 2022-07-11 11:32 KCon 2022 演讲议题巡展火热进行中 接下来的一段时间 我们将陆续对议题亮点及演讲人进行展示 敬请关注 PS:议题展示顺序不分先后~为使 KCon 首届云端大会能为大家带来更好的体验,议程还在加紧制定中,请大家耐心等待官方通知~ IT’S SHOW TIME
继续阅读【安全头条】MITRE漏洞公告意外展示易受攻击资产
【安全头条】MITRE漏洞公告意外展示易受攻击资产 安全客 安全客 2022-07-08 10:00 第318期 你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 1、MITRE漏洞 公告意外展示 易受攻击资产 近日有喜欢看CVE信息的安全圈
继续阅读【已复现】Atlassian Jira 多款产品Mobile Plugin服务端请求伪造漏洞安全风险通告
【已复现】Atlassian Jira 多款产品Mobile Plugin服务端请求伪造漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-07-06 17:19 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到Atlassian Jira 多款产品 Mobile Plugin 服务端请求伪造漏洞PoC及
继续阅读澳大利亚莫纳什大学推出公开漏洞奖励计划
澳大利亚莫纳什大学推出公开漏洞奖励计划 James Walker 代码卫士 2022-07-05 18:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 澳大利亚莫纳什大学推出公开漏洞奖励计划,以助力维护其数字化平台的安全性。 这项新的漏洞奖励计划托管在 Bugcrowd 平台,将为合法漏洞颁发最高2500美元的奖励。奖励目标涵盖莫纳什大学的主要 web 域名和移动应用,以及该大学使用的
继续阅读上周关注度较高的产品安全漏洞(20220627-20220703)
上周关注度较高的产品安全漏洞(20220627-20220703) 国家互联网应急中心CNCERT 2022-07-05 17:24 一、境外厂商产品漏洞 1、Fortinet FortiWAN操作系统命令注入漏洞 Fortinet FortiWan是美国Fortinet公司的一个网络设备。用于在不同网络之间执行负载平衡和容错。Fortinet FortiWAN 4.5.9之前版本存在操作系统命令
继续阅读【安全头条】Hackerone员工偷卖漏洞报告截胡安全研究员
【安全头条】Hackerone员工偷卖漏洞报告截胡安全研究员 安全客 安全客 2022-07-05 10:03 第315期 你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 1、Hackerone 员工偷卖漏洞报告 截胡安全研究员 一名Hac
继续阅读博通Brocade漏洞影响多家大厂的存储解决方案
博通Brocade漏洞影响多家大厂的存储解决方案 Eduard Kovacs 代码卫士 2022-07-01 19:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 最近,博通 (Broadcom) 公司表示,其存储网络子公司 Brocade 提供的一些软件受多个漏洞影响,可能影响多家主流厂商的产品。 博通公司表示,Brocade SANnav 存储局域网 (SAN) 管理应用受九个漏洞
继续阅读亚马逊悄悄修复安卓相册 app 中的高危漏洞
亚马逊悄悄修复安卓相册 app 中的高危漏洞 Jonathan Greig 代码卫士 2022-06-30 18:21 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 亚马逊披露称,收到研究员的漏洞报告后,在去年12月修复了 Amazon Photos Android app 中的一个高危漏洞。 网络安全公司 Checkmarx 的研究员表示从该 app 中发现了一个漏洞,可导致攻击者窃取用
继续阅读CVE-2022-24521 Windows CLFS本地提权漏洞分析
CVE-2022-24521 Windows CLFS本地提权漏洞分析 原创 天元实验室 M01N Team 2022-06-29 18:00 简介 CLFS全称为Common Log File System,即通用日志文件系统,自 Windows Vista 和 Windows Server 2003 R2中被引入用于构建高性能事务日志以来,使用者可以通过CLFS提供的API对日志进行创建、存储
继续阅读美国家安全局“酸狐狸”漏洞攻击武器平台技术分析报告
美国家安全局“酸狐狸”漏洞攻击武器平台技术分析报告 安全内参 2022-06-29 15:44 关注我们 带你读懂网络安全 美国用“酸狐狸”攻击中俄,已发现中国多家科研机构受影响! 前情回顾 – 国家计算机病毒应急处理中心披露美国安局网络间谍装备! 美国主战网络攻击武器曝光:世界重要信息基础设施已成美“情报站” 近日,国家计算机病毒应急处理中心对美国家安全局(NSA)“酸狐狸”漏洞攻击
继续阅读美国国家安全局(NSA)“酸狐狸”漏洞攻击武器平台技术分析报告
美国国家安全局(NSA)“酸狐狸”漏洞攻击武器平台技术分析报告 CVERC 奇安信威胁情报中心 2022-06-29 12:51 作者:国家计算机病毒应急处理中心 以下为全文转载 近日,国家计算机病毒应急处理中心对美国家安全局(NSA)“酸狐狸”漏洞攻击武器平台(FoxAcid)进行了技术分析。该漏洞攻击武器平台是美国国家安全局(NSA)特定入侵行动办公室(TAO,也被称为“接入技术行动处”)对他
继续阅读严重PHP漏洞使威联通设备面临远程代码执行风险
严重PHP漏洞使威联通设备面临远程代码执行风险 看雪学苑 看雪学苑 2022-06-24 18:08 编辑:左右里 台湾网络附属存储(NAS)设备制造商威联通QNAP于周三表示,它正在修复一个已经存在三年的关键PHP漏洞(编号为CVE-2019-11043,CVSS评分9.8),该漏洞可能被滥用以实现远程代码执行。 遭披露的该漏洞的影响范围为:PHP版本低于7.1.33的7.1.x,低于7.2.2
继续阅读【安全头条】MEGA修复导致数据泄露的高危漏洞
【安全头条】MEGA修复导致数据泄露的高危漏洞 安全客 安全客 2022-06-24 10:00 第308期 你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 1、MEGA修复 导致数据泄露 的高危漏洞 纽西兰云存储服务公司MEGA修复了可能
继续阅读CVE-2022-25165:AWS VPN 客户端中的 SYSTEM 权限提升
CVE-2022-25165:AWS VPN 客户端中的 SYSTEM 权限提升 原创 ???????? 火线Zone 2022-06-23 18:00 每天一个CVE,赚钱变得好容易! 本文为翻译文章,原文链接:https://rhinosecuritylabs.com/aws/cve-2022-25165-aws-vpn-client/ 漏洞概述 AWS VPN应用程序存以 SYSTEM 身份
继续阅读上周关注度较高的产品安全漏洞(20220613-20220619)
上周关注度较高的产品安全漏洞(20220613-20220619) 原创 CNVD CNVD漏洞平台 2022-06-20 16:55 一、境外厂商产品漏洞 1、WordPress UpdraftPlus WordPress Backup plugin跨站脚本漏洞 WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网
继续阅读雷神众测漏洞周报2022.06.13-2022.06.19-4
雷神众测漏洞周报2022.06.13-2022.06.19-4 雷神众测 雷神众测 2022-06-20 16:00 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意
继续阅读【火绒安全周报】勒索软件与恶意软件联手/俄利用漏洞入侵乌机构
【火绒安全周报】勒索软件与恶意软件联手/俄利用漏洞入侵乌机构 火绒安全 2022-06-17 18:00 01 勒索软件与恶意软件Qakbot联手 研究人员发现,4月份新出现的Black Basta勒索组织利用恶意软件Qakbot在被攻击的网络中进行横向移动。据了解,Qakbot出现在2008年,是一个基于Windows的信息窃取木马,其能够记录键盘,窃取cookies,以及提取网上银行的相关细节
继续阅读新型侧信道漏洞 Hertzbleed 影响所有AMD 和 Intel CPU
新型侧信道漏洞 Hertzbleed 影响所有AMD 和 Intel CPU Ravie Lakshmanan 代码卫士 2022-06-16 17:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 现代Intel 和AMD处理器中出现一个新漏洞,可导致远程攻击者通过功率侧信道攻击窃取加密密钥。该漏洞被研究员命名为 “Hertzbleed”。 研究人员指出,该漏洞根植于热功耗管理特性动态
继续阅读【技术分享】Linux kernel 4.20 BPF 整数溢出-堆溢出漏洞及其利用
【技术分享】Linux kernel 4.20 BPF 整数溢出-堆溢出漏洞及其利用 原创 ww9210 安全客 2022-06-16 10:02 ****内容简介 我们可以100%稳定触发这个漏洞,并且可以利用它来进行本地提权获得root权限。这篇文章主要分析漏洞的成因以及基本漏洞利用方法。 漏洞板块 BPF(Berkeley Packet Filter)模块[1]是用于支持用户态自定义包过滤方
继续阅读开源邮件平台Zimbra 出现新漏洞,用户登录凭据可被盗
开源邮件平台Zimbra 出现新漏洞,用户登录凭据可被盗 Ravie Lakshmanan 代码卫士 2022-06-15 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员发现 Zimbra 邮件套件中又出现一个高危漏洞 (CVE-2022-27924),如遭成功利用可导致未认证攻击者窃取用户明文密码且无需任何用户交互。 研究员在报告中指出,“通过对受害者邮箱后续的访问权
继续阅读2022-06微软漏洞通告
2022-06微软漏洞通告 火绒安全 2022-06-15 15:14 点击蓝字 关注我们 微软官方发布了2022年06月的安全更新。本月更新公布了61个漏洞,包含28个远程执行代码漏洞、12个特权提升漏洞、11个信息泄露漏洞、3个拒绝服务漏洞、1个功能绕过以及1个身份假冒漏洞,其中3个漏洞级别为“Critical”(高危),53个为“Important”(严重)。建议用户及时使用火绒安全软件(个
继续阅读十年三倍!OT漏洞增长88%!
十年三倍!OT漏洞增长88%! 威努特安全网络 2022-06-15 12:10 2021年业界共检测发布了20175个新漏洞,创下年度新增漏洞数量新高。过去十年业界发布的漏洞总数在2021年累计达到166938个,十年间增长了三倍。 但漏洞增长只是问题的冰山一角。 工控安全失控:OT漏洞增长88% 根据Skybox研究实验室的最新漏洞报告,2021年运营技术(OT)漏洞增加了88%,这些漏洞可用
继续阅读微软六月补丁日:广泛关注的Follina漏洞(CVE-2022-30190)得以修复
微软六月补丁日:广泛关注的Follina漏洞(CVE-2022-30190)得以修复 腾讯安全威胁情报中心 2022-06-15 10:40 长按二维码关注 腾讯安全威胁情报中心 今天是微软2022年6月例行补丁日,微软修复了56个安全漏洞,最近被广泛跟踪报道的 Windows MSDT“Follina”0day漏洞(CVE-2022-30190)今天得以修复。 6月安全更新修复的 56 个漏洞中
继续阅读万字长文详解CVE-2014-1767提权漏洞分析与利用(x86x64)
万字长文详解CVE-2014-1767提权漏洞分析与利用(x86x64) yumoqaq 看雪学苑 2022-06-14 18:11 本文为看雪论坛精华文章看雪论坛作者ID:yumoqaq 这是我第一个研究的漏洞,虽然已经有相当多的资料与文章对这个漏洞进行了分析,但是大部分都是(ctrlCV你懂的),参考了前人的资料,给出了还不如前人的分析文章,让我这个纯纯的新手感觉到困难重重。所以我想把我的分析
继续阅读上周关注度较高的产品安全漏洞(20220606-20220612)
上周关注度较高的产品安全漏洞(20220606-20220612) 国家互联网应急中心CNCERT 2022-06-14 14:14 一、境外厂商产品漏洞 1、Simple Real Estate Portal System SQL注入漏洞 Simple Real Estate Portal System是Carlo Montero个人开发者的一个房地产门户系统。Simple Real Estat
继续阅读【漏洞预警】Owl Labs Meeting Owl Pro信息泄露漏洞
【漏洞预警】Owl Labs Meeting Owl Pro信息泄露漏洞 安识科技 SecPulse安全脉搏 2022-06-10 16:56 1. 通告信息 近日, 安识科技 A-Team团队 监测到一则 Meeting Owl Pro 和 Whiteboard Owl 组件存在 信息泄露漏洞 的信息,该漏洞的 CVSS评分为7.4 , 漏洞编号: CVE-2022-31460 ,漏洞威胁等级:
继续阅读