Linux 用户今天又得到了一个惊喜! Red Hat 安全团队在 Linux 中广泛使用的 Bash shell 中发现了一个隐晦而危险的安全漏洞。该漏洞被称作Bash Bug或Shellshock。 当用户正常访问,该漏洞允许攻击者的代码像在 shell 中一样执行,这就为各种各样的攻击打开了方便之门。而且,更糟糕的是该漏洞已经在 Linux 中存在很久了,所以修补某个 Linux 机器很容易,但是要全部修补,几乎不可能完成。 Red Hat 和 Fedora 已经发布了针对该漏洞的修补程序。该漏洞也会影响 OS X,不过苹果公司尚未发布正式的修补程序。 这个 Bash 漏洞可能比 Heartble
2014-09-25 12:41 Russell Brandom, wxy
据 Tomcat 安全组确认,Tomcat 全系列产品均被发现严重安全漏洞:CVE-2014-0227 请求夹带漏洞。 级别:严重 受影响版本: Apache Tomcat 8.0.0-RC1 to 8.0.8 Apache Tomcat 7.0.0 to 7.0.54 Apache Tomcat 6.0.0 to 6.0.41 描述:可以通过构造一个截断请求而在请求数据中夹带一个新的请求。 解决方案 升级到最新版本: 升级到 Apache Tomcat 8.0.9 及其以上 升级到 Apache Tomcat 7.0.55 及其以上 升级到 Apache Tomcat 6.0.43 及其以上(6.0.42 包含了该修复,但是并未发布)
2015-02-10 12:26 wxy
建议用户马上更新可用的补丁 这个漏洞之前由Qualys的安全研究员发现,并取了绰号叫Ghost,可以利用WordPress或其他PHP应用来攻击网站服务器。 这个瑕疵是一个缓冲区溢出问题,可以被攻击者触发用来获取Linux主机的命令行执行权限。发生在glibc的__nss_hostname_digits_dots()函数中,它会被gethostbyname()函数用到。 PHP应用可以用来利用这个瑕疵 Sucuri的Marc-Alexandre Montpas说之所以这个问题很重要是因为这些函数在大量软件和服务器系统使用。 说这是个严重问题的一个例子是WordPress本身:它使用一个叫wp_http_validate_url()的函
2015-03-16 06:47 Ionut Ilascu, zpl1025
2015年1月27日,GNU C库(glibc)的一个漏洞也称鬼影漏洞(GHOST)被公诸于众。总的来说,这个漏洞允许远程攻击者利用glibc中的GetHOST函数的缓冲区溢出漏洞来获得系统的完全控制。点击这里获得更多细节。 鬼影漏洞可在版本在glibc-2.18之前的Linux系统上被利用。也就是说没有打过补丁的版本2.2到2.17都是有风险的。 检查系统漏洞 你可以使用下面的命令来检查glib的版本 ldd --version 输出 ldd (Ubuntu GLIBC 2.19-10ubuntu2) 2.19 Copyright (C) 2014 Free Software Foundation, Inc. This is free software; see the source for copy
2015-03-27 08:05 ruchi, ruchi
Google的Project Zero继"The poisoned NUL byte, 2014 edition后再次向公众展示一个看起来极度难以利用但实际又能利用成功的漏洞,rowhammer漏洞在Yoongu Kim et al的论文中谈到今天的DRAM单元为了让内存容量更大,所以在物理密度上更紧凑,但这样很难阻止临近的内存单元之间的电子上的互相影响,在足够多的访问次数后可以让某个单元的值从1变成0,或者相反。目前Google Project Zero的研究人员 Mark Seaborn和Thomas Dullien已经成功的在x86-64的GNU/Linux平台上利用这个漏洞通过CLFLUSH指令和PTEs(page table entries)的某一位的变化(比
2015-03-11 16:20
SSL/TLS的著名自由软件实现OpenSSL在几天前(2015年3月16日)的邮件列表中公布了在新版本中将会有重大漏洞的修复,2015年3月19日,OpenSSL 1.0.2a正式发布,其中一共修复了14个安全漏洞,其中2个属于高风险级别。 CVE-2015-0291可以让客户端发起密钥重协商请求时使用一个无效的签名算法扩展去触发空指针引用(NULL DEREF)导致服务器crash掉。 CVE-2015-0204就是FREAK漏洞,一开始被认为是低危漏洞,但最近的讨论都把NSA的实际漏洞利用放在了威胁建模里,所以最终OpenSSL社区安全公告认定为高危。 在后棱镜时代,SSL/TLS的自由软件实现比以
2015-03-20 11:01
最近,思科研究人员在NTP(Network Time Protocol,网络时间协议)中发现了8个安全漏洞,目前Linux、Mac和BSD操作系统都在使用该协议。这些漏洞发现的时间恰巧是2015年10月21日,就 是Michael J. Fox在电影《回到未来2》中穿越所至的时间。 8个安全漏洞的其中一个能够让黑客操纵目标的时钟,让受到影响的人相信,他们已经穿越到了未来(果然是有点儿典故啊)。 这些漏洞影响的就是NTP协议守护进程,这是个负责在整个计算机网络中进行时间同步的协议(这里的计算机网络可以是互联网、内连网或者更小的LAN)。 公布的这些漏洞包含了一则处
2015-10-23 10:00
安全业界的研究员们每天都在寻找新的软件漏洞,但是已经很久没有象2014年这样出现数量如此之多或影响范围如此之广的漏洞了。回顾即将结束的2014年,一个又一个重量级漏洞接踵而至,受到影响的设备竟以百万计,系统管理员和用户简直要抓狂了。 今年被发现的几个重大安全漏洞震惊了整个互联网,令安全社区颜面尽失,因为这些漏洞并不是在新软件中被发现的,而是从已经推出了几年甚至几十年的老软件中被挖出来的。有几个漏洞可以说是普通用户的悲剧,因为这么多人使用了这么久的时间,人们一直以为它们是没有漏洞的。 SR Labs的柏林安全研究
2014-12-31 08:43 林靖东
由于开源软件Xen进行更新以修补发现的安全漏洞,最近多家云计算服务面临短暂停机。 近日,开源软件Xen发出高危漏洞警告,称由于Xen存在部分漏洞,建议所有相关的服务器进行重启来修复这些漏洞。 Xen在云计算行业为人熟知,由剑桥大学开发。使用者包括亚马逊EC2、阿里云ECS、IBMSoftLayer、Linode及Rackspace Cloud等主流厂商。 目前来看,多数云计算厂商采用了服务器重启的解决方式,但这样将中断云计算服务,使得客户业务无法开展。 据了解,早先亚马逊公告通知客户,表示有大约10%的服务器受影响需要重启,随后该公司技术团队找到热升
2015-03-12 07:54
漏洞赏金猎人一旦发现软件中的未曝光安全问题无疑能够大赚一笔。作为软件厂商也乐于根据危险等级支付不同的奖金以不断完善自身软件的安全性能。近日Mozilla公司为刺激更多的白客和安全专家加入到Client Bug Bounty项目中来,帮助修复软件漏洞,选择最大漏洞奖金上限提升至1万美元,而此前最高奖励为3000美元,在过去几年之前Mozilla的安全团队已经支出了160万美元。
2015-06-12 11:02
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。