LiteSpeed Cache 主要用于提高网站性能,据不完全统计已经有 500 多万安装用户。
Bleeping Computer 网站披露,OpenSSL 修补了其用于加密通信通道和 HTTPS 连接的开源密码库中两个高危漏洞。漏洞分别追踪为 CVE-2022-3602 和 CVE-2022-3786,主要影响 OpenSSL 3.0.0 及更高版本,现已在 OpenSSL 3.0.7 中得到解决。
10月24日-25日,以“人攻智能,洞见未来”为主题的GeekPwn2018国际安全极客大赛在上海圆满落下帷幕。在数字追踪挑战赛中,来自中科院、清华大学、重庆邮电大学、腾讯安全云鼎实验室等多支参赛队伍同台切磋过招,经过激烈角逐,最终代表腾讯安全云鼎实验室参与决赛的CAVEMASTER团队从中脱颖而出,荣获大赛前三。
网络安全研究人员发现,在安卓、Linux 和 ChromeOS 设备的开源 Wi-Fi 软件中存在两个身份验证绕过漏洞。据悉,安全漏洞可能诱使用户加入合法网络的恶意“克隆”,允许威胁攻击者在没有密码的情况下加入可信网络。
Bleeping Computer 网站消息,一个安装了超过 9 万次的 WordPress 插件中存在一个严重的安全漏洞,威胁攻击者能够利用该漏洞获得远程代码执行权限,从而完全控制有漏洞的网站(该插件名为 "Backup Migration",可帮助管理员自动将网站备份到本地存储或 Google Drive 账户上)。
Bleeping Computer 网站披露,五眼联盟网络安全机构、CISA、美国国家安全局(NSA)和联邦调查局(FBI)联合发布了一份 2022 年最容易被利用的 12 个漏洞清单,五眼联盟网络安全机构呼吁全球各地的实体组织尽快部署补丁管理系统,解决安全漏洞问题,以最大限度降低潜在的网络风险。
2023 年 11 月,Anyscale 方面披露了五个 Ray 安全漏洞,分别追踪为 CVE-2023-6019、CVE-2023-6020、CVE-2023-6021 、CVE-2023-48023 、CVE-2023-48022 ,其中前四个安全漏洞很快就修补了,但严重远程代码执行漏洞 CVE-2023-48022 一直未修补。
Bleeping Computer 消息称,美国网络安全和基础设施安全局(CISA)在其积极利用漏洞列表中新增三个安全漏洞,其中包括 Windows Print Spooler 中的本地权限提升漏洞。
机器之心报道 编辑:陈萍、杜伟 近日,一名开发者宣称苹果 M1 芯片存在一个安全漏洞,允许两个或更多的恶意应用程序建立一个秘密通道来相互通信。并且,不改设计就无法消除该漏洞。 苹果基于 Arm 架构的 M1 芯片因其强劲性能而备受瞩目,但近期 Ashai Linux 创始人兼项目负责人 Hector Martin 发现,搭载于新款 iPad Pro、MacBook Air、MacBook Pro、Mac mini 以及重新设计过的 iMac 的 M1 芯片竟然有无法修复的安全漏洞。该漏洞被称为「M1RAC
微软日前发布了最新安全补丁,修复内容包括谷歌90天前提交的0day漏洞(微软本计划2月修复,但迫于谷歌不愿违背其90天公布漏洞详情的策略只好提前发布补丁)等8个安全漏洞。其中Windows Telnet服务远程代码执行漏洞被微软标记为了高危级别,其余7个都是重要级别。 TS WebProxy Windows组件目录追踪漏洞 微软指出MS15-004修复的是TS WebProxy Windows组件上的目录追踪漏洞,它须结合其他安全漏洞才能远程执行代码。 如果攻击者利用其他的一些漏洞通过IE浏览器运行任意
如今,一切都在数字化。 我们曾经存储在相册中的照片通常不再打印; 他们存储在在线相册。 而且很少有人再用实际的纸质计划者来追踪他们的生活。 相反,每日提醒和约会都存储在数字日历中。 更重要的是,很少有人维护手写分类帐来跟踪他们的银行账户。有网站和应用程序为他们工作,并允许轻松访问这些数据。 与此同时,多个行业的公司都将数字化存储所有文件和数据。数字网络从财务记录到人事档案都存储公司的内部数据。数据公司从客户处收集的数据也经常以这种方式存储。 听起来很不错 - 除了事实上,有这么多事情发展到数字化,我们越
Bleeping Computer 网站消息,大约有 38% 采用 Apache Log4j 库的应用程序使用的是存在安全问题的版本,其中包括 Log4Shell 漏洞,该漏洞被追踪为 CVE-2021-44228,尽管两年多前就有了修补程序,但目前的严重程度仍达到了最高级别。
如何用听起来很长、实践起来很难的DevSecOps,帮大家很happy地把安全软件构建出来。
以色列本古里安大学(Ben-Gurion University of the Negev)的网络安全研究人员发现,三星电子畅销智能手机Galaxy S4的安全平台存在一个安全漏洞,可能会让恶意软件追踪邮件并记录数据通讯。研究人员称他们是在本月早些时候发现该安全漏洞的,在此同时三星正向美国国防部和其他政府及企业单位推销这个名为Knox的新型安全平台,该平台的目标直指黑莓,多年来这些注重安全的客户认为后者的设备是黄金标准。 三星表示,正对这些传闻进行调查,不过指出初步调查发现,问题并不像以色列研
The Hacker News 网站消息,miniOrange 的 WordPress 社交登录和注册插件中出现了一个关键安全漏洞,该漏洞可能使潜在网络攻击者登录用户帐户。(任何用户提供的有关电子邮件地址信息都是已知的)
奇安信集团副总裁、补天漏洞响应平台主任张卓认为,该《规定》释放了一个重要信号:我国将首次以产品视角来管理漏洞,通过对网络产品漏洞的收集、研判、追踪、溯源,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪,实现对我国各行各业网络安全的有效防护。
近日,一个名为Dream Market暗网市场上挂出了6.2亿用户信息,交易通过比特币转账进行,打包售价不高于2万美元,该卖家宣称这些数据来自16个被攻击的网站:
据美国国土安全部(DHS)近日透露,加入“Hack DHS”漏洞赏金项目(bug bounty program)的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞,其中27个被评估为严重漏洞。
3月22日携程出现重大安全漏洞,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露 (包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。尽管漏洞仅持续了两个多小时,不过事件引发的恐慌仍在持续。目前看来,该漏洞引发的担忧和愤怒大大超过了漏洞造成的实际危害本身。 恐慌远超实际影响 根据携程官方的说法,目前并没有监测到有用户出现信用卡被盗刷现象,且该漏洞仅影响到了93名用户,携程已经通过电话通知用户更换信用卡,并给予每人500元礼品卡作为补偿。 同时携程承诺若发生盗刷,携程将赔偿用户损失。
Google 一直致力于提升 Android 生态圈的安全防护水平,作为我们在安全方面的长期工作之一,我们携手 Arm 公司共同研发出了内存标记扩展 (Memory Tagging Extension, 简称 MTE)。内存安全漏洞 (常见于 C/C++ 程序) 目前仍旧是 Android 平台最大的安全隐患之一,尽管 Google 此前已投入大量努力对平台安全进行升级,但是,内存安全漏洞依旧占有 Android 9 高风险级漏洞的一半以上。而且,此类漏洞通常以难以诊断的可靠性问题出现,如偶发性崩溃和无法追踪的数据损坏,致使用户满意度下降,同时增加软件的开发成本。ASAN 和 HWASAN 等软件测试工具确实有一定帮助,但是它们的运行负载较高,因此在硬件安全方面的应用并不普及。
The Hacker News 网站披露,苹果公司近日推出了 iOS、iPadOS、macOS 的安全更新,以解决一个 0day 漏洞(追踪为 CVE-2023-23529)。 研究表明,CVE-2023-23529 漏洞与 WebKit 开源浏览器引擎中的类型混淆错误有关,一旦攻击者成功利用,便可在目标系统上执行任意代码。 WebKit 是一个主要用于 Safari,Dashboard,Mail 和其它一些 Mac OS X 程序的开源浏览器引擎,在手机上的应用十分广泛(例如 Android、iPhon
Black Hat 2022已在拉斯维加斯落下帷幕,每届大会都会公布一些安全研究成果,这些研究成果反映了当前网络安全领域诸多残酷的现实和趋势,同时兼具启发性和讨论性。近日,PCMag列出了本届大会上14个重磅研究成果,现在就让我们通过本文来一一窥探。 跨越四分之一世纪的黑客活动 从首次举办至今,黑帽大会迎来了它的第25岁生日,在感叹时间流逝之快的同时,为纪念这一时刻,会议将其中两个主题演讲的重点聚焦在安全的未来,涉及到与乌克兰相关的网络战争、网上虚假信息的兴起,以及声称2020年美国大选是欺诈性选举的政治动
这是一款名叫Vuls的漏洞扫描工具,该工具采用Go语言编写,可帮助研究人员在无需安装任何代理工具的情况下实现对Linux/FreeBSD的漏洞扫描。工具演示视频视频地址:https://asciinema.org/a/3y9zrf950agiko7klg8abvyck工具介绍对于系统管理员来说,每天的安全漏洞扫描以及软件更新任务肯定是非常繁重的.为了避免产品
近日,GitHub 在全球开发者大会上,宣布启动了一个名为「安全实验室 (Security Lab)」的新社区计划。该计划中,GitHub 不仅开源了代码分析引擎 CodeQL,还设置了奖励金最高为 3000 美元的漏洞奖励计划。
近日,《网络产品安全漏洞管理规定》的出台引起了业界的热议,《规定》对网络产品安全漏洞发现、报告、修补和发布等行为进行规范,以防范网络安全风险。
据The Hacker News 9月22日报道,Python模块中存在一个长达15年未修复的安全漏洞,可能导致35万余个开源项目被利用,涉及人工智能/机器学习、网络开发、媒体、安全、IT管理等多个领域。
据悉,这些安全漏洞主要影响到 5.11.1 及更低版本的 Nagios XI。CVE-2023-40931、CVE-2023-40933 和 CVE-2023-40934 漏洞是 SQL 注入问题,网络可利用这几个漏洞提升自身权限,并获取敏感的用户数据,包括密码哈希和 API 令牌。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/169918.html原文链接:https://javaforall.cn
CNVD 公开数据显示,2022 年共披露安全漏洞23900+枚,其中低风险漏洞占比11.13%,中高风险漏洞占比较约53.82%,高危漏洞占比35.05%。从数据可以看出,中高危漏洞占比近89%,如此风险程度的漏洞一旦被潜在网络犯罪分子利用,会给企业组织带来毁灭性打击。
Entrust作为一家专注在线信任与身份管理的安全公司,其提供包括加密通信、数字安全支付、身份证明解决方案在内的广泛服务。然而这家数字安全巨头证实,其遭到了勒索软件团伙的网络攻击,该攻击导致了其网络被破坏以及内部系统的数据被窃取。
近日,思科修复了一组影响小型企业 VPN 路由器的关键漏洞,该组漏洞允许未经身份验证的攻击者在易受攻击设备上执行任意代码或指令。 安全研究人员在基于 Web 管理界面和 Web 过滤器的数据库更新功能中发现了这组安全漏洞(分别追踪为 CVE-2022-20842 、 CVE-2022-20827 ),经过分析后发现,该组漏洞均是由输入验证不足引起的。 这些漏洞影响的路由器主要包括 Small Business RV160、RV260、RV340和 RV345 系列 VPN 路由器(CVE-2022-208
俗话说得好,最好的防守就是进攻,而这句话同样适用于信息安全领域。接下来,我们将给大家介绍15个最新的网络安全网站。 无论你是开发人员、安全专家、审计人员、或者是渗透测试人员,你都可以利用这些网站来提升你的黑客技术。熟能生巧,请你时刻牢记这一点! 1. bWAPP -【点击阅读原文获取传送门】 bWAPP,即Buggy Web Application,这是一个免费开源的Web应用。该网站的开发者Malik Messelem(@MME_IT)在搭建这个站点时故意留下了大量的安全漏洞,其中还包含有OWAS
来自:FreeBuf.COM(微信号:freebuf) 链接:www.freebuf.com/special/123961.html(点击尾部阅读原文前往) * 参考来源:Listly,FB小编Al
Bleeping Computer 资讯网站披露,VMware 多个产品中出现关键身份验证绕过漏洞,漏洞允许攻击者获取管理员权限。
微软日前发布了最新安全补丁,修复内容包括谷歌90天前提交的0day漏洞等8个安全漏洞。其中Windows Telnet服务远程代码执行漏洞被微软标记为了高危级别,其余7个都是重要级别。 微软指出MS15-004修复的是TS WebProxy Windows组件上的目录追踪漏洞,它须结合其他安全漏洞才能远程执行代码。如果攻击者利用其他的一些漏洞通过IE浏览器运行任意代码,由于受到IE浏览器环境限制,代码会被限制运行(因为诚信度等级太低,受访问限制);但是,如果攻击者利用Windows漏洞并借用当前用户的权限
The Hacker News 网站消息,可信平台模块 ( TPM ) 2.0 参考库规范中爆出一个严重安全漏洞,这些漏洞可能会导致设备信息泄露或权限提升。 漏洞或影响数十亿物联网设备 2022 年 11 月,网络安全公司 Quarkslab 发现并报告漏洞问题,其中一个漏洞被追踪为 CVE-2023-1017(涉及越界写入),另一个漏洞追踪为 CVE-2023-1018(可能允许攻击者越界读取)。 Quarkslab 指出,使用企业计算机、服务器、物联网设备、TPM 嵌入式系统的实体组织以及大型技术供
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1、马斯克血洗Twitter,网络安全部门集体被裁 根据Twitter新任首席信息安全官Lea Kissner发布的消息,原有的网络安全部门集体被裁撤。 2、头铁!医疗保险巨头拒绝向黑客支付赎金 澳大利亚最大的医疗保险公司 Medibank 明确表示,不会向对其发动网络攻击并窃取内部数据的犯罪分子支付赎金。 3、将机密藏在三明治
Cyberpion最新研究表明,现阶段,Magecart攻击泛滥,包括零售、银行、医疗、能源等行业的世界500强企业都是其攻击目标,甚至政府都未能阻止Magecart的疯狂攻击。
关于WINGFUZZ SaaS WINGFUZZ SaaS是水木羽林推出的智能模糊测试在线服务,可以在不需要用户上传源代码的情况下利用云端资源开展覆盖率引导的模糊测试。作为国内首个模糊测试SaaS服务平台,当前已开放beta版免费注册使用,支持C/C++程序内存问题等安全漏洞的自动化测试。 注册使用 平台注册地址是:https://wingfuzz.com/ 注册后即可登入平台查看demo项目与相关功能,等待审核激活后就可以跑测试了。 技术原理 平台后端基于覆盖率引导的模糊测试实现,引入了团队自研的
今天给大家介绍的是一款名叫Vuls的漏洞扫描工具,该工具采用Go语言编写,可帮助研究人员在无需安装任何代理工具的情况下实现对Linux/FreeBSD的漏洞扫描。
现在,无论是商业软件还是程序员自行开发的小程序,开源代码已经变得越来越普遍了,而开源似乎也已经成为了一种趋势。但需要注意的是,Black Duck软件公司的研究人员根据他们对开源项目所收集到的统计数据
1994年公安部颁布了“中华人民共和国计算机信息系统安全保护条例”,这是我国第一个计算机安全方面的法律。
2017.12.22 周五 安全资讯 资讯要点 网络安全公司 FireEye 和 Dragos 于上周报道称,新型恶意软件 Triton 和 Trisis通过破坏关键基础设施中广泛使用的施耐德电气 Triconex 安全控制器致使中东部分机构关场停工。美国国土安全部研究人员于近期在调查时发现另一新型恶意软件 HatMan,旨在针对国家工业控制系统展开攻击活动。美国国土安全部的国家网络安全和通信集成中心(NCCIC)周一就此事发布了一份针对工业安全系统的恶意软件的分析报告。 NewSky Security
众所周知,现在开发软件已经变得不难,因为现在软件项目通常使用大量的依赖库。开发者虽然非常容易开发项目,简单而又方便了,但是一旦上游库有 Bug 将会影响到下游软件。 现在最大的开源软件开发平台 Git
开源文件共享软件 ownCloud 近日警告称存在三个严重安全漏洞,其中一个漏洞可能会暴漏管理员密码和邮件服务器凭证。
一位白帽黑客向三星提交了多达17个漏洞,这些漏洞可能被用于间谍活动或提权控制系统,该黑客由此获得三星近3万美元的漏洞赏金。目前,三星正在修复这些漏洞。
安全测试假设问题产生是由于黑客行为,有极高的针对性;常规测试相关的只有脏数据,属于用户不小心造成的。
一年一度的重保活动即将到来,作为防守方将进行 7*24h 的值守安全设备,防守方主要从“事前排查”、“事中监控”、“事后溯源”三个维度开展自己的工作。
近日,境外黑客组织(包括匿名者组织在内的多个黑客组织组成的黑客联盟)声称将于2020年2月13日针对我国视频监控系统实施网络攻击破坏活动,并公布了其已掌握的一批在线视频监控系统的境内IP地址,该声明引起了网络安全业内的高度关注。
领取专属 10元无门槛券
手把手带您无忧上云