你好,游客 登录 注册 搜索
rss订阅 手机访问 
Linux安全
Cisco Email Security Appliance附件过滤器绕过漏洞(CVE-2017-6671)
Cisco Email Security Appliance (ESA)设备中,Cisco AsyncOS Software存在电子邮件扫描漏洞,可使未经身份验证的远程攻击者绕过已配置的过滤器。此漏洞源于对带有附件及已修改MIME标头的电子邮件没有正确输入验证。
日期:06月12日 作者:Linux
Wireshark SLSK Dissector 'dissectors/packet-slsk.c'拒绝服务漏洞(CVE-2017-7746)
Wireshark 2.2.0-2.2.5、2.0.0-2.0.11版本,epan/dissectors/packet-slsk.c存在安全漏洞,攻击者通过数据包注入或畸形捕获文件,可造成SLSK解析器崩溃。
日期:06月12日 作者:Linux
Samba smbd拒绝服务漏洞(CVE-2017-9461)
Samba < 4.4.10、4.5.x < 4.5.6版本,smbd存在拒绝服务漏洞,由于错误处理了悬挂符号链接,导致CPU及内存耗尽,fd_open_atomic进入无限循环。
日期:06月12日 作者:Linux
Apache Tomcat安全限制绕过漏洞(CVE-2017-5664)
Apache Tomcat 9.0.0.M1-9.0.0.M20, 8.5.0-8.5.14, 8.0.0.RC1-8.0.43, 7.0.0-7.0.77版本,在错误页面的实现机制中存在安全漏洞,根据源请求会导致意外结果,比如若DefaultServlet配置为允许写,对于静态错误页面,可能会替换或删除自定义错误页面等。
日期:06月12日 作者:Linux
Apache XML-RPC 多个安全漏洞(CVE-2016-5002/CVE-2016-5004)
Apache Archiva中,ws-xmlrpc 3.1.3的Content-Encoding HTTP标头功能存在安全漏洞,可使远程攻击者通过解压含零的大文件,造成拒绝服务。
日期:06月12日 作者:Linux
Digital Canal Structural Wind Analysis拒绝服务漏洞(CVE-2017-7910)
Wind Analysis 9.1及之前版本存在栈缓冲区溢出漏洞,可使远程攻击者执行拒绝服务攻击。
日期:06月12日 作者:Linux
Wireshark WSP Dissector 'packet-wsp.c'拒绝服务漏洞(CVE-2017-7748)
Wireshark 2.2.0-2.2.5、2.0.0-2.0.11版本,epan/dissectors/packet-wsp.c存在安全漏洞,攻击者通过数据包注入或畸形捕获文件,可造成WSP解析器崩溃。
日期:06月12日 作者:Linux
Linux Kernel 本地拒绝服务漏洞(CVE-2017-8063)
Linux kernel 4.9.x、4.10.x < 4.10.12版本,drivers/media/usb/dvb-usb/cxusb.c未正确与CONFIG_VMAP_STACK选项交互,可使本地用户利用此漏洞造成拒绝服务。
日期:06月12日 作者:Linux
WebKit 内存破坏漏洞(CVE-2017-2530)
iOS < 10.3.2、Safari < 10.1.1、iCloud < 6.2.1 (Windows)、tvOS < 10.2.1版本中存在安全漏洞,此漏洞位于Webkit组件中,可使远程攻击者通过构造的网站,执行任意代码或造成拒绝服务(内存破坏及应用崩溃)。
日期:06月12日 作者:Linux
Linux 系统中修复 SambaCry 漏洞(CVE-2017-7494)
Samba 很久以来一直是为 *nix 系统上的 Windows 客户端提供共享文件和打印服务的标准。家庭用户,中型企业和大型公司都在使用它,它作为最佳解决方案在多种操作系统共存的环境中脱颖而出。
日期:06月11日 作者:Linux
Linux Kernel 本地内存破坏漏洞(CVE-2017-7277)
Linux kernel <= 4.10.6版本,TCP栈错误处理了SCM_TIMESTAMPING_OPT_STATS功能,可使本地用户通过构造的系统调用,获取内核内部套接字数据结构信息,或造成拒绝服务。
日期:06月11日 作者:Linux
恶意程序利用英特尔 AMT 窃取数据和躲避防火墙
微软安全团队报告了一个恶意程序家族将英特尔 Active Management Technology (AMT) Serial-over-LAN (SOL) 接口用作文件传输工具。AMT SOL 是英特尔 Management Engine(ME) 的一部分,运行独立的操作系统
日期:06月10日 作者:Linux
微软声称没有 Windows 10 客户受到勒索软件 WannaCry 的影响
微软声称已知没有 Windows 10 客户被感染勒索软件 WannaCry。WannaCry 主要感染 Windows 7 系统,连早已停止支持 XP 系统也几乎不受影响。如果你想要未来确保你使用的系统不受勒索软件的影响,微软还指明了一条捷径:使用 Windows 10 S。
日期:06月10日 作者:Linux
Wireshark DICOM 解析器拒绝服务漏洞(CVE-2017-9349)
Wireshark 2.2.0-2.2.6、2.0.0-2.0.12版本,DICOM 解析器会进入无限循环,导致拒绝服务。
日期:06月06日 作者:Linux
Poppler gmalloc函数拒绝服务漏洞(CVE-2017-9406)
Poppler 0.54.0版本存在内存泄露漏洞,此漏洞位于gmem.cc内的函数gmalloc中,可使攻击者通过构造的文件造成拒绝服务。
日期:06月06日 作者:Linux
GnuTLS 栈缓冲区溢出漏洞(CVE-2017-6891)
GnuTLS libtasn1 4.10版本,"asn1_find_node()"函数(lib/parser_aux.c)存在错误,攻击者诱使用户处理构造的分配文件,造成栈缓冲区溢出。
日期:06月06日 作者:Linux
多个 Linux 发行版发布更新 修復 sudo 漏洞
Red Hat、Debian 和其他几个 Linux 发行版都已经发布了针对 Sudo 命令漏洞的更新。该漏洞严重程度为高危,可能让本地攻击者获得 root 权限。
日期:06月06日 作者:Linux
Asterisk产品'PJSIP Transaction Layer'堆缓冲区溢出漏洞(CVE-2017-9372)
Asterisk Open Source 13.x < 13.15.1、14.x < 14.4.1, Certified Asterisk 13.13 < 13.13-cert4及其他产品中,存在内存耗尽安全漏洞,可使远程攻击者通过构造的SCCP数据包,造成拒绝服务。
日期:06月06日 作者:Linux
Wireshark 'dissectors/asn1/ros/packet-ros-template.c'拒绝服务漏洞(CVE-2017-934
Wireshark 2.2.0-2.2.6版本,ROS解析器存在空指针间接引用导致的崩溃,造成拒绝服务。
日期:06月05日 作者:Linux
Asterisk多个产品拒绝服务漏洞(CVE-2017-9359)
Asterisk Open Source 13.x < 13.15.1、14.x < 14.4.1, Certified Asterisk 13.13 < 13.13-cert4及其他产品中,PJSIP multi-part body解析器存在安全漏洞,可使远程攻击者通过构造的数据包,造成拒绝服务。
日期:06月05日 作者:Linux
Apache Hadoop远程权限提升漏洞(CVE-2017-7669)
Apache Hadoop 2.8.0, 3.0.0-alpha1, 3.0.0-alpha2版本中,LinuxContainerExecutor没有有效验证输入,以root权限运行docker命令。启用docker功能后,经身份验证的用户可以root权限运行命令。
日期:06月05日 作者:Linux
Chrome漏洞可致恶意站点在用户在不知情的情况下录制音频和视频
有没有可能我们在不知情的情况下被电脑录音和录像?黑客可以从而听到你的每一通电话,看到你周围的人。 Chrome浏览器最近就被发现了这样的一个漏洞,恶意网站可以在用户不知情的情况下录制音频和视频。
日期:06月05日 作者:Sphinx
Judy可能是史上感染最多的Google Play恶意程序
近期,Check Point的安全研究专家在Google自家的官方App商城Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”,这是一款自动点击型恶意软件,目前已经在Google Play上发现有41款App感染了这种恶意软件。
日期:06月04日 作者:Alpha_h4ck编译
OneLogin 遭到入侵
提供单点登录和身份管理服务的 OneLogin 通过官方博客发表声明,称遭到黑客入侵。官方博客一开始没有披露事故的任何细节,但之后更新称,攻击者获得了一组 AWS 密钥,然后从一个中间主机使用这些密钥访问 AWS API,攻击始于 5 月 31 2 am PST
日期:06月03日 作者:Linux
QEMU virtio_gpu_set_scanout函数拒绝服务漏洞(CVE-2017-9060)
QEMU在hw/display/virtio-gpu.c的virtio_gpu_set_scanout函数中存在内存泄露漏洞。可使本地OS用户通过大量的"VIRTIO_GPU_CMD_SET_SCANOUT:"命令,造成拒绝服务。
日期:06月02日 作者:Linux
Linux曝新安全漏洞:用户执行sudo命令可获取root权限
来自 Qualys Security 的安全专家,最近发现了新的 Linux 系统漏洞。他们发现,利用该漏洞可以实现用户权限的提升,并可以覆盖文件系统中的文件。
日期:06月02日 作者:Elaine编译
谁动了我的主机?Linux安全运维之History命令
Linux系统下可通过history命令查看用户所有的历史操作记录,在安全应急响应中起着非常重要的作用,但在未进行附加配置情况下,history命令只能查看用户历史操作记录,并不能区分用户以及操作时间,不便于审计分析。当然,一些不好的操作习惯也可能通过命令历史泄露敏感信息。
日期:06月02日 作者:xmirror
Mozilla Network Security Services拒绝服务漏洞(CVE-2017-7502)
Mozilla Network Security Services 3.24.0及之后版本在实现上存在空指针间接引用漏洞,若服务器收到空的SSLv2消息,可导致远程拒绝服务。
日期:06月01日 作者:Linux
OpenLDAP 'servers/slapd/back-mdb/search.c' 拒绝服务漏洞(CVE-2017-9287)
OpenLDAP 2.4.44及之前版本,servers/slapd/back-mdb/search.c中存在双重释放漏洞,具有目录搜索权限的用户若发送构造的搜索请求,可造成slapd崩溃。
日期:06月01日 作者:Linux
Juniper Networks Junos Space跨站脚本漏洞(CVE-2017-2307)
Juniper Networks Junos Space < 16.1R1版本在管理接口实现上存在反射型跨站脚本漏洞,可使远程攻击者获取敏感信息,执行管理员操作。
日期:06月01日 作者:Linux
内容分类