清静通告
-
综述在微软宣布的2月份清静更新中包罗一个主要级此外补。糜谛薷创嬖谟 Microsoft Exchange Server中的远程代码执行误差(CVE-2020-0688)。该误差影响所有受支持的Microsoft Exchange Server。现在已有该误差的详细剖析和使用演示,详见以下参考链接。误差缘故原由是Exchange服务器在安装时没有准确建设唯一的加密密钥。导致经由身份验证的攻击者可以诱骗目的服务器反序列化恶意建设的数据,来到达在目的服务器上以 SYSTE
更多 -
【威胁通告】OpenSMTPD远程下令执行误差(CVE-2020-8794)
2020-02-24综述当地时间2月24日,来自清静公司Qualys的研究职员在果真邮件组中宣布了OpenSMTPD 中存在的一个远程下令执行误差CVE-2020-8794。OpenSMTPD (也称为OpenBSD SMTP服务器)是 OpenBSD 项目的一部门,一个免费的服务器端SMTP协议实现,通过RFC5321界说。CVE-2020-8794 是一个越界读取误差,可被远程使用,乐成的使用可导致攻击者以 root 身份执行注入到 envelope 文件中的恣意下令。据研究职员体现,他们针对此误差开
更多 -
综述当地时间 2月24日,Google 针对桌面版Chrome浏览器宣布更新以解决多个误差,其中包罗已被发现在野使用的高危误差CVE-2020-6418。CVE-2020-6418是存在于V8中的类型混淆误差,V8是Google Chrome的开源JavaScript和WebAssembly引擎。该误差由 Google威胁剖析小组的Clement Lecigne发现并上报。参考链接:https: chromereleases googleblog com 2020 02 stable-channel-update-for-desktop_24 html受影响产物版本Google
更多 -
综述Vmware 克日宣布的通告中宣布了一个存在于 vRealize Operationsfor Horizon Adapter 中的远程代码执行误差(CVE-2020-3943)。CVSS V3 评分 9 0 ,官方定级为严重。误差缘故原由是vRealize Operations for Horizon Adapter 使用了没有清静设置的JMX RMI服务。导致未经身份验证的远程攻击者可以通过网络会见在vRealize Operations中执行恣意代码。参考链接:https: www vmware com security advisories VMSA-202
更多 -
【威胁通告】Fastjson <=1.2.62远程代码执行误差
2020-02-21综述在jackson-databind 中最新发现的反序列化 gadget 也同样影响了fastjson,经K8凯发国际科技研究职员验证复现,该误差影响最新的fastjson 1 2 62 版本,使用该误差可导致受害机械上的远程代码执行。开启了autoType功效的用户会受此误差影响(autoType功效默认关闭)。fastjson是阿里巴巴的开源JSON剖析库,它可以剖析JSON名堂的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有
更多 -
【防护方案】Apache Tomcat文件包罗误差(CVE-2020-1938)
2020-02-20一、综述2月20日,国家信息清静误差共享平台(CNVD)宣布了一则关于Apache Tomcat存在文件包罗误差的清静通告。通告中体现,存在于Apache Tomcat中的文件包罗误差(CNVD-2020-10487,对应CVE-2020-1938)可使攻击者在未授权的情形下远程读取特定目录下的恣意文件。误差源于Tomcat AJP协议实现中的缺陷,使得相关参数可控。通过向AJP协议端口(默认8009)发送全心结构的数据,可读取服务器webapp目录下的恣意文件,好比设置文
更多