【漏洞詳情】
Jackson是一套開源的java序列化與反序列化工具框架�,可將Java對象序列化為xml和json格式的字符串及提供對應(yīng)的反序列化過程�����。由于其解析效率較高��,目前是Spring MVC中內(nèi)置使用的解析方式�。該漏洞系Jackson針對反序列化漏洞(CVE-2017-7525)存在遺留問題 ...
閱讀全文
綜述
Struts2是一個基于MVC設(shè)計模式的Web應(yīng)用框架,它本質(zhì)上相當(dāng)于一個servlet����,在MVC設(shè)計模式中,Struts2作為控制器(Controller)來建立模型與視圖的數(shù)據(jù)交互�����。
Struts2 的Jackson JSON庫中存在拒絕服務(wù)漏洞�����,在使用Struts REST插件時���,攻擊者 ...
閱讀全文
據(jù)國家網(wǎng)絡(luò)與信息安全信息通報中心監(jiān)測發(fā)現(xiàn)���,微軟Office系列辦公軟件(Word����、Excel��、Powerpoint等)存在遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-11826)��。目前該漏洞影響范圍包括Office 2007�����、2010�、2016三個版本。經(jīng)分析研判����,該漏洞通過特制RTF格式文檔感染W(wǎng)indo ...
閱讀全文
漏洞簡介
這個漏洞和之前披露的 Spring WebFlow 漏洞(CVE-2017-4971)基本類似���,在形成條件上完全一樣,需要是 Spring WebFlow 在 Model 的數(shù)據(jù)綁定上面��,由于沒有明確指定相關(guān) Model 的具體屬性導(dǎo)致從表單可以提交惡意的表達(dá)式���,導(dǎo)致任意代碼執(zhí)行����。兩個漏洞 ...
閱讀全文
千瘡百孔的Struts2應(yīng)用又曝出存在新的高危遠(yuǎn)程代碼執(zhí)行漏洞��。該漏洞由lgtm.com的安全研究員匯報�����,編號為CVE-2017-9805�,漏洞危害程度為高危(Critical)。當(dāng)用戶使用帶有XStream程序的Struts REST插件來處理XML payloads時��,可能會遭到遠(yuǎn)程代碼執(zhí)行攻 ...
閱讀全文
Xshell是一款強大,著名的終端模擬軟件,被廣泛的用于服務(wù)器運維和管理,Xshell支持SSH���,SFTP��,TELNET��,RLOGIN和SERIAL功能���。它提供業(yè)界領(lǐng)先的性能和強大功能,在免費終端模擬軟件中有著不可替代的地位����。企業(yè)版中擁有更專業(yè)的功能其中包括:標(biāo)簽式的環(huán)境,動態(tài)端口轉(zhuǎn)發(fā)����,自定義鍵映射 ...
閱讀全文
近日,互聯(lián)網(wǎng)上出現(xiàn)了針對WeblogicJava反序列化漏洞(CVE-2015-4852)補丁繞過的攻擊利用分析情況���。官方廠商(Oracle公司)在2015年11月發(fā)布了Weblogic Java反序列化漏洞補丁���,該漏洞補丁由于采用了不完全的黑名單攔截方式,可以被繞過��,后續(xù)則需要通過兩個新補丁來完成 ...
閱讀全文
作者: cyg07 && redrain
概述
Samba是在Linux和UNIX系統(tǒng)上實現(xiàn)SMB協(xié)議的一個軟件����。2017年5月24日Samba發(fā)布了4.6.4版本,中間修復(fù)了一個嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞���,漏洞編號CVE-2017-7494��,漏洞影響了Samba 3.5.0 之后到 ...
閱讀全文
來自 Qualys Security 的安全專家����,最近發(fā)現(xiàn)了新的 Linux 系統(tǒng)漏洞。他們發(fā)現(xiàn)���,利用該漏洞可以實現(xiàn)用戶權(quán)限的提升���,并可以覆蓋文件系統(tǒng)中的文件��。
該高危漏洞 CVE-2017-1000367 (High級別)發(fā)生在 Linux 的 Sudo 命令中的 get_process_tty ...
閱讀全文
近日���,國家信息安全漏洞庫(CNNVD)收到關(guān)于“永恒之石”(EternalRocks)病毒的分析報告����。該病毒與不久前廣泛傳播的“WannaCry”勒索病毒類似�����,均利用了今年4月方程式組織泄露的漏洞利用工具進(jìn)行傳播�����。“永恒之石”感染存在漏洞的主機之后�����,會潛伏下來����,等待遠(yuǎn)程C&C(命令與控制) ...
閱讀全文
