漏洞描述:
Memcached是一個高性能的分布式內(nèi)存對象緩存系統(tǒng),用于動態(tài)Web應用以減輕數(shù)據(jù)庫負載。Memcacded DRDoS漏洞中基于UDP協(xié)議的DDOS反射攻擊靠的是發(fā)送大量帶有被害者IP地址的UDP數(shù)據(jù)包給放大器主機(Memcached),最后放大器主機對偽造的IP地址源做出大 ...
閱讀全文
漏洞描述
漏洞編號:CVE-2018-1305����、CVE-2018-1304
ApacheTomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項目的一款輕量級Web應用服務器,它主要用于開發(fā)和調(diào)試JSP程序���,適用于中小型系統(tǒng)���。Default Servlet是其中的一個對靜態(tài)資 ...
閱讀全文
【漏洞詳情】
Jackson是一套開源的java序列化與反序列化工具框架,可將Java對象序列化為xml和json格式的字符串及提供對應的反序列化過程��。由于其解析效率較高��,目前是Spring MVC中內(nèi)置使用的解析方式���。該漏洞系Jackson針對反序列化漏洞(CVE-2017-7525)存在遺留問題 ...
閱讀全文
綜述
Struts2是一個基于MVC設計模式的Web應用框架����,它本質(zhì)上相當于一個servlet,在MVC設計模式中�,Struts2作為控制器(Controller)來建立模型與視圖的數(shù)據(jù)交互。
Struts2 的Jackson JSON庫中存在拒絕服務漏洞���,在使用Struts REST插件時���,攻擊者 ...
閱讀全文
據(jù)國家網(wǎng)絡與信息安全信息通報中心監(jiān)測發(fā)現(xiàn)����,微軟Office系列辦公軟件(Word、Excel����、Powerpoint等)存在遠程代碼執(zhí)行漏洞(CVE-2017-11826)。目前該漏洞影響范圍包括Office 2007���、2010���、2016三個版本。經(jīng)分析研判����,該漏洞通過特制RTF格式文檔感染W(wǎng)indo ...
閱讀全文
漏洞簡介
這個漏洞和之前披露的 Spring WebFlow 漏洞(CVE-2017-4971)基本類似,在形成條件上完全一樣�����,需要是 Spring WebFlow 在 Model 的數(shù)據(jù)綁定上面,由于沒有明確指定相關 Model 的具體屬性導致從表單可以提交惡意的表達式�,導致任意代碼執(zhí)行。兩個漏洞 ...
閱讀全文
千瘡百孔的Struts2應用又曝出存在新的高危遠程代碼執(zhí)行漏洞�。該漏洞由lgtm.com的安全研究員匯報,編號為CVE-2017-9805��,漏洞危害程度為高危(Critical)��。當用戶使用帶有XStream程序的Struts REST插件來處理XML payloads時���,可能會遭到遠程代碼執(zhí)行攻 ...
閱讀全文
Xshell是一款強大,著名的終端模擬軟件�,被廣泛的用于服務器運維和管理,Xshell支持SSH,SFTP���,TELNET����,RLOGIN和SERIAL功能。它提供業(yè)界領先的性能和強大功能���,在免費終端模擬軟件中有著不可替代的地位�。企業(yè)版中擁有更專業(yè)的功能其中包括:標簽式的環(huán)境���,動態(tài)端口轉(zhuǎn)發(fā)�����,自定義鍵映射 ...
閱讀全文
近日,互聯(lián)網(wǎng)上出現(xiàn)了針對WeblogicJava反序列化漏洞(CVE-2015-4852)補丁繞過的攻擊利用分析情況��。官方廠商(Oracle公司)在2015年11月發(fā)布了Weblogic Java反序列化漏洞補丁��,該漏洞補丁由于采用了不完全的黑名單攔截方式�����,可以被繞過���,后續(xù)則需要通過兩個新補丁來完成 ...
閱讀全文
作者: cyg07 && redrain
概述
Samba是在Linux和UNIX系統(tǒng)上實現(xiàn)SMB協(xié)議的一個軟件����。2017年5月24日Samba發(fā)布了4.6.4版本�����,中間修復了一個嚴重的遠程代碼執(zhí)行漏洞�����,漏洞編號CVE-2017-7494�����,漏洞影響了Samba 3.5.0 之后到 ...
閱讀全文
