2014 年 9 月 24 日,Bash 惊爆严重安全漏洞,编号为 CVE-2014-6271,该漏洞将导致远程攻击者在受影响的系统上执行任意代码。GNU Bash 是一个为 GNU 计划编写的 Unix Shell,广泛使用在 Linux 系统内,最初的功能仅是一个简单的基于终端的命令解释器。这意味全球至少 150 万的主机将受到影响,此外Linux/Unix 世界内的安卓和苹果都难幸免。 破壳漏洞(ShellShock)的严重性被定义为 10 级(最高),今年 4 月爆发的 OpenSSL「心脏出血」漏洞才 5 级! 漏洞描述: GNU Bash 4.3 及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境
2014-09-26 20:59 余弦
微软披露了一个影响所有Windows版本的高危漏洞,Windows用户尤其是运行网站的用户需要立即安装微软周二释出的补丁。漏洞存在于微软的TLS库中,允许攻击者向Windows服务器发送恶意流量远程执行代码。 微软TLS漏洞的公开意味着所有主要TLS堆栈包括苹果的SecureTransport、GNUTLS、OpenSSL、NSS和微软Secure Channel(Schannel)都在今年发现了高危漏洞。 安全研究人员称,如果用户安装和运行监视端口接受加密连接的软件,那么机器就可能存在弱点。举例来说,Windows 7用户安装了接受外部连接的FTP服务器就可能面临风险。
2014-11-12 20:38
Bash爆出远程解析命令执行漏洞(CVE-2014-6271),波及各大Linux发行版与MacOSX系统。漏洞可以直接在Bash支持的Web CGI环境下远程执行任意命令。 bash注入公开之后根据官方的文档发现,攻击者只要保持 $envx='(){:;};echovulnerable'bash-c"echothisisatest" 中前四个字符不改变,也就是'(){ 固定,后面的:;}中符合规定的语法就可以进行攻击测试。虽然漏洞的影响非常大,但是相比于Openssl来说,利用的环境是有限的。 防御bash注入的方法,首先需要更新bash,yum update下就OK了,更新到bash-4.1.2-15。 或者是添加mod_security: Request
2014-09-26 10:28 evil8
尽管影响全版本IE的漏洞利用模块早已泛滥,但是微软并不打算在本月的"补丁星期二"(Patch Tuesday)之前发布这个紧急修复补丁。该公司在今天宣布了其将于下周二发布的8个安全公告,其中便包括数周前曝出的影响全版本IE ...
2013-10-05 20:19
弱密码是一个严重的安全漏洞,但是很多人仍然在使用一些通用简单的字符序列作为密码。 SplashData 近期公布了2012年度的最坏密码列表, password (unchanged) 123456 (unchanged) 12345678 (unchanged) abc123 (up ...
2012-10-30 08:08
安全公司卡巴斯基报告发现至今最先进的 Android 木马,它能利用 Android 操作系统此前未知的漏洞提升程序权限,并能阻止被感染机器试图卸载恶意程序。该恶意程序被称为 Backdoor.AndroidOS.Obad.a,其功能与其它 ...
2013-06-08 09:00
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。
标签: