RSSTAG
关于我们/aboutus广告合作/ad帮助我们/contribute

 找回密码
 骑士注册

QQ登录

微博登录

搜索
❏ 站外平台:

Linux中国开源社区 标签 安全漏洞

相关文章

  • WordPress 可以触发 Linux 上的 Ghost 缺陷

    建议用户马上更新可用的补丁 这个漏洞之前由Qualys的安全研究员发现,并取了绰号叫Ghost,可以利用WordPress或其他PHP应用来攻击网站服务器。 这个瑕疵是一个缓冲区溢出问题,可以被攻击者触发用来获取Linux主机的命令行执行权限。发生在glibc的__nss_hostname_digits_dots()函数中,它会被gethostbyname()函数用到。 PHP应用可以用来利用这个瑕疵 Sucuri的Marc-Alexandre Montpas说之所以这个问题很重要是因为这些函数在大量软件和服务器系统使用。 说这是个严重问题的一个例子是WordPress本身:它使用一个叫wp_http_validate_url()的函

    2015-03-16 06:47     Ionut Ilascu, zpl1025

  • OpenSSL 1.0.2a 修复14个安全漏洞

    SSL/TLS的著名自由软件实现OpenSSL在几天前(2015年3月16日)的邮件列表中公布了在新版本中将会有重大漏洞的修复,2015年3月19日,OpenSSL 1.0.2a正式发布,其中一共修复了14个安全漏洞,其中2个属于高风险级别。 CVE-2015-0291可以让客户端发起密钥重协商请求时使用一个无效的签名算法扩展去触发空指针引用(NULL DEREF)导致服务器crash掉。 CVE-2015-0204就是FREAK漏洞,一开始被认为是低危漏洞,但最近的讨论都把NSA的实际漏洞利用放在了威胁建模里,所以最终OpenSSL社区安全公告认定为高危。 在后棱镜时代,SSL/TLS的自由软件实现比以

    2015-03-20 11:01     

  • 如何让Ubuntu服务器远离鬼影漏洞(GHOST)影响

    2015年1月27日,GNU C库(glibc)的一个漏洞也称鬼影漏洞(GHOST)被公诸于众。总的来说,这个漏洞允许远程攻击者利用glibc中的GetHOST函数的缓冲区溢出漏洞来获得系统的完全控制。点击这里获得更多细节。 鬼影漏洞可在版本在glibc-2.18之前的Linux系统上被利用。也就是说没有打过补丁的版本2.2到2.17都是有风险的。 检查系统漏洞 你可以使用下面的命令来检查glib的版本 ldd --version 输出 ldd (Ubuntu GLIBC 2.19-10ubuntu2) 2.19 Copyright (C) 2014 Free Software Foundation, Inc. This is free software; see the source for copy

    2015-03-27 08:05     ruchi, ruchi

  • 开源软件Xen曝出安全漏洞:多家云计算服务暂停

    由于开源软件Xen进行更新以修补发现的安全漏洞,最近多家云计算服务面临短暂停机。 近日,开源软件Xen发出高危漏洞警告,称由于Xen存在部分漏洞,建议所有相关的服务器进行重启来修复这些漏洞。 Xen在云计算行业为人熟知,由剑桥大学开发。使用者包括亚马逊EC2、阿里云ECS、IBMSoftLayer、Linode及Rackspace Cloud等主流厂商。 目前来看,多数云计算厂商采用了服务器重启的解决方式,但这样将中断云计算服务,使得客户业务无法开展。 据了解,早先亚马逊公告通知客户,表示有大约10%的服务器受影响需要重启,随后该公司技术团队找到热升

    2015-03-12 07:54     

  • 同步网络时间的 NTP 协议被发现存在8个漏洞

    最近,思科研究人员在NTP(Network Time Protocol,网络时间协议)中发现了8个安全漏洞,目前Linux、Mac和BSD操作系统都在使用该协议。这些漏洞发现的时间恰巧是2015年10月21日,就 是Michael J. Fox在电影《回到未来2》中穿越所至的时间。 8个安全漏洞的其中一个能够让黑客操纵目标的时钟,让受到影响的人相信,他们已经穿越到了未来(果然是有点儿典故啊)。 这些漏洞影响的就是NTP协议守护进程,这是个负责在整个计算机网络中进行时间同步的协议(这里的计算机网络可以是互联网、内连网或者更小的LAN)。 公布的这些漏洞包含了一则处

    2015-10-23 10:00     

  • Mozilla提升安全漏洞奖金上限至1万美元

    漏洞赏金猎人一旦发现软件中的未曝光安全问题无疑能够大赚一笔。作为软件厂商也乐于根据危险等级支付不同的奖金以不断完善自身软件的安全性能。近日Mozilla公司为刺激更多的白客和安全专家加入到Client Bug Bounty项目中来,帮助修复软件漏洞,选择最大漏洞奖金上限提升至1万美元,而此前最高奖励为3000美元,在过去几年之前Mozilla的安全团队已经支出了160万美元。

    2015-06-12 11:02     

  • 如何修补和保护 Linux 内核堆栈冲突漏洞 CVE-2017-1000364

    Qualys 研究实验室在 GNU C Library(CVE-2017-1000366)的动态链接器中发现了许多问题,它们通过与 Linux 内核内的堆栈冲突来允许本地特权升级。

    2017-07-12 07:34     Vivek Gite, geekpi

  • 漏洞修复八个月后,仍有超过七万台 memcached 服务器面临危险

    当他们对所提交的三个漏洞进行测试时,他们发现只有 200 台需要身份验证的服务器部署了 10 月的补丁,其它的所有服务器都可能通过 SASL 漏洞进行攻击。

    2017-07-28 12:12     Lucian Constantin, firmianay

  • 从 CNVD-2017-17486 谈数据库缓冲区溢出漏洞的原理及防护

    日前由安华金和攻防实验室发现并提交的国产数据库漏洞,获国家信息安全漏洞平台 CNVD 确认,编号 CNVD-2017-17486。如果出现在数据库等基础应用中,导致数据库服务中断,将引发整个业务的瘫痪。

    2017-08-31 12:18     安华金和

  • 如何管理开源产品的安全漏洞

    在开发开源软件时, 你需要考虑的安全漏洞也许会将你吞没。CVE ID、零日漏洞和其他漏洞似乎每天都在公布。随着这些信息洪流,你怎么能保持不掉队?

    2017-08-31 10:29     Amber Ankerholz, geekpi

123下一页
返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。