- 综合排序
- 最热优先
- 最新优先
- 来自专栏绿盟科技安全情报
【安全更新】微软4月安全更新多个产品高危漏洞通告
通告编号:NS-2021-0015 2021-04-14 TAG: 安全更新、Windows、Office、Exchange、Edge、Visual Studio 漏洞危害: 攻击者利用本次安全更新中的漏洞 版本: 1.0 1 漏洞概述 4月14日,微软发布4月安全更新补丁,修复了114个安全漏洞,涉及Windows、Office、Edge (Chromium-based) 、Visual Studio 1607 for x64-based SystemsWindows 10 Version 1607 for 32-bit SystemsWindows 10 for x64-based Systems 4漏洞防护 声明 本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。 绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。
1K30发布于 2021-04-26 - 来自专栏代码人生
ES 解决 log4j 安全漏洞
概论 Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方已发布正式安全公告及版本,漏洞编号:CVE-2021-44228,漏洞被利用可导致服务器被入侵等危害。 公司 ES 使用 Log4j 2 组件,存在安全问题,升级 ES 镜像中的 Log4j 2 版本解决该问题。 原理 java 项目只用替换编译出来的 jar 包就可以。 快速教程 下载 log4j-core-2.16.jar 和 log4j-api-2.16.jar https://repo.maven.apache.org/maven2/org/apache/logging /log4j/log4j-core/2.16.0/ https://repo.maven.apache.org/maven2/org/apache/logging/log4j/log4j-api/2.16.0 log4j-api-*.jar
1.5K10编辑于 2021-12-16 - 来自专栏云鼎实验室的专栏
2025年4月企业必修安全漏洞清单
腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。 当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。 腾讯云安全中心定期发布安全漏洞必修清单,以此指引企业安全运维人员修复漏洞,从而避免重大损失。 以下是2025年4月份必修安全漏洞清单: 一、Vite 任意文件读取漏洞(CVE-2025-31486) 二、Vite 任意文件读取漏洞(CVE-2025-32395) 三、Langflow 远程代码执行漏洞 临时缓解方案: - 利用安全组设置仅对可信地址开放 - 为该接口设置鉴权 四、 Dify 任意密码重置漏洞 漏洞概述 腾讯云安全近期监测到关于Dify的风险公告,漏洞编号为TVD-2024-41101
20410编辑于 2026-04-09 - 来自专栏渗透测试专栏
渗透测试XSS漏洞原理与验证(4)——HTTP协议安全
Session利用的实质:由于SessionlD是用户登录之后持有的唯一认证凭证,因此黑客不需要再攻击登陆过程(比如密码),就可以轻易获取访问权限,无需登录密码直接进入特定用户界面,进而查找其他漏洞如XSS 协议上个世纪90年代中期,网景公司(NetScape)为了解决HTTP协议明文传送的安全性问题,设计了SSL(Secure Sockets Layer 安全套接层)协议。 ,简单来说是HTTP的安全版。 4、HTTP的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比HTTP协议安全。 SSL协议组成1、记录协议(Record Protocol)2、握手协议(Handshake Protocol)3、警告协议(Alert Protocol)4、密码规范改变协议(Change Cipher
35210编辑于 2024-11-05 - 来自专栏代码人生
Elasticsearch 解决 log4j 安全漏洞 - 升级镜像
一、概论 Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方已发布正式安全公告及版本,漏洞编号:CVE-2021-44228,漏洞被利用可导致服务器被入侵等危害。 公司 ES 使用 Log4j 2 组件,存在安全问题,升级 ES 镜像中的 Log4j 2 版本解决该问题。 1.1 原理 java 项目只用替换编译出来的 jar 包就可以。 二、快速教程 2.1 判断 ES 是否存在漏洞 进入 ES 容器,查找 log4j 版本,使用find 命令查找 docker run -it --user root devops-docker.pkg.codingcorp.net log4j-api-*.jar 如果版本小于 2.17.jar,就需要升级 2.2 下载物料 下载 log4j-core-2.16.jar 和 log4j-api-2.16.jar https:// /maven2/org/apache/logging/log4j/log4j-api/2.16.0/ 2.3 创建镜像目录结构 新建 static 目录,将下载的 jar 放入 static 文件夹
1.8K10编辑于 2023-02-26 - 来自专栏CODING DevOps
Apache Log4j 2 报高危漏洞,CODING 联手腾讯安全护卫软件安全
腾讯安全第一时间将该漏洞收录至腾讯安全漏洞特征库中,CODING 制品扫描基于该漏洞特征库,对引用了受影响版本的 Log4j 2 制品进行了精准定位,并给出修复建议,同时可禁止下载含有该安全漏洞的制品, Apache Log4j 2 漏洞详情 Apache Log4j 2 是一个基于 Java 的日志记录工具。 漏洞详情: 漏洞名称 Apache Log4j 2 任意代码执行漏洞 威胁等级 高危 漏洞详情 已公开 POC 已知 EXP 已知 漏洞威胁 Apache Log4j 2 影响范围 Apache Log4j 2 2.0 - 2.14.1 漏洞编号 暂无 在野利用 已发现 安全版本 Log4j-2.15.0-rc2 Log4j 2 的使用极为广泛,可能受影响的应用及组件(包括但不限于):Apache Solr 可信漏洞特征库 「腾讯安全开源组件漏洞特征库」是腾讯基于自身安全研究与国内外通用开源漏洞库信息搭建的漏洞特征库,由专业安全团队持续运营,为用户提供准确、及时、易懂的安全信息。
1.7K30编辑于 2021-12-10 - 来自专栏安全攻防团队
腾讯安全威胁情报中心推出2024年4月必修安全漏洞清单
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。 腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。 以下是2024年4月份必修安全漏洞 一、kkFileView任意文件上传致远程代码执行漏洞 二、IP-guard WebServer 权限绕过漏洞 三、Oracle WebLogic T3/IIOP反序列化漏洞 Connect Secure <= 9.1 r18 22.1 <= Ivanti Connect Secure <= 22.6 9.0 <= Ivanti Policy Secure <= 9.0 r4 通用的漏洞修复、防御方案建议 腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
1.6K10编辑于 2024-05-14 - 来自专栏全栈程序员必看
web安全常见漏洞_web漏洞挖掘
常见Web安全漏洞 1、越权漏洞 不同权限账户之间的存在越权访问 检测 抓去a用户功能链接,然后登录b用户对此链接进行访问 抓去a用户功能链接,修改id为b的id,查看是否能看b的相关数据 替换不同的 4必须在服务器端对每个请求URL进行鉴权,而不能仅仅通过客户端的菜单屏蔽或者按钮Disable来限制。 检查网站有没有文件解析漏洞和文件包含漏洞。 将文件上传到单独的文件服务器,并且单独设置文件服务器的域名。 4用户下载文件之前需要进行权限判断 5 用户下载时需提交对应ID 6不允许提供目录遍历服务。 命令执行和代码执行–>传送门 13、SSRF 由攻击者构造请求,有服务端发起请求的安全漏洞,本质是信息泄露。
2.1K50编辑于 2022-11-06 - 来自专栏囍楽云博客
bash 安全漏洞-bash代码注入的安全漏洞
你看bash 安全漏洞,一个代码注入就这样完成了。这就是bash的bug——函数体外面的代码被默认地执行了。 就像这个安全漏洞的测试脚本一样: env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo 如果你看到了vulnerable字样说明你的bash有安全问题" OK,你应该明白这个漏洞是怎么一回事了吧。 bash漏洞的影响有多大 在网上看到好多人说这个漏洞不大,还说这个事只有那些陈旧的执行CGI脚本的网站才会有,现在已经没有网站用CGI了。我靠,这真是无知者无畏啊。 我们还知道,现在的HTTP服务器基本上都是以子进程式的bash 安全漏洞,所以,其中必然会存在export 一些环境变量的事,而有的环境变量的值是从用户端来的,比如:这样的环境变量,只由浏览器发出的。
1.5K20编辑于 2022-12-29 - 来自专栏安恒信息
安全漏洞公告
1 McAfee Email Gateway存在未明任意命令执行漏洞 2 Zend Framework代理请求处理IP地址伪造漏洞 3Cisco ASA CX安全搜索策略绕过漏洞 4 Zabbix任意命令执行漏洞 5Apache Struts config-browser/actionNames.action namespace参数反射型跨站脚本漏洞
911100发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
多个IBM产品存在安全措施绕过漏洞,远程经过身份验证的攻击者可利用此漏洞绕过目标访问限制,读取通讯日志。 受影响产品如下:IBM Maximo Asset Management 7.x、SmartCloud Control Desk 7.x安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载 uid=swg21670870 http://xforce.iss.net/xforce/xfdb/88364 4 IBM DB2及DB2 Connect权限提升漏洞 IBM DB2及DB2 Connect :目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/ 5 Apache 'mod_wsgi' 模块本地权限提升漏洞 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://modwsgi.readthedocs.org/en/latest/release-notes/version-
1.7K60发布于 2018-04-10 - 来自专栏技术博文
日常漏洞安全更新
日常漏洞安全更新 系统:CentOs7.4 1 中危NSS 安全漏洞 RHSA-2021:4904: nss 安全更新 漏洞编号 影响分 漏洞公告(公告内会包含同一软件多个漏洞 CVE) CVE-2021 -43527 4.8 NSS 安全漏洞 #1 查看可更新的软件nss yum list updates |grep nss #2 如果有可更新软件,则进行更新 yum -y update nss.x86 _64 2 RHSA-2021:4788: krb5 安全更新 漏洞编号 影响分 漏洞公告(公告内会包含同一软件多个漏洞 CVE) CVE-2021-37750 3.2 MIT Kerberos 代码问题漏洞 yum list updates |grep openssh #2 如果有可更新软件,则进行更新 yum -y update openssh-7.4p1-22.el7_9.x86_64 4 RHSA- 2021:3889: java-1.8.0-openjdk 安全和BUG修复更新 漏洞编号 影响分 漏洞公告(公告内会包含同一软件多个漏洞 CVE) CVE-2021-35550 4.5 Oracle
88010编辑于 2021-12-30 - 来自专栏安恒信息
安全漏洞公告
1 Oracle MySQL Server远程安全漏洞 Oracle MySQL Server远程安全漏洞发布时间:2014-04-17漏洞编号:BUGTRAQ ID: 66863,66872 CVE Oracle MySQL Server在MySQL Server组件的实现上存在远程安全漏洞,此漏洞可通过MySQL Server协议利用,经身份验证的远程攻击者可利用此漏洞影响受影响组件的可用性。 type=doc&id=1635913.1 2 Oracle WebLogic Server远程安全漏洞 Oracle WebLogic Server远程安全漏洞发布时间:2014-04-15漏洞编号: .com/kb/en-us/solutions/public/15000/100/sol15154.html 4 OpenSSL 'ssl3_release_read_buffer()'释放后重利用内存破坏漏洞 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.openssl.org/ 5 WordPress多个漏洞 WordPress多个漏洞发布时间:2014
1.3K90发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
Dell GoAhead Web Server在处理用户名长度大于16个字符的特制HTTP POST请求时,存在安全漏洞,未经身份验证的远程攻击者可利用此漏洞造成受影响交换机不响应。 xenmobile/product-software/xenmobile-86-mdm-edition.html http://support.citrix.com/article/CTX140044 4. Zabbix安全绕过漏洞 Zabbix安全绕过漏洞发布时间:2014-02-17漏洞号:BUGTRAQ ID: 65446 CVE ID: CVE-2014-1685漏洞描述:zabbix是一个基于WEB Microsoft XML Core Services处理特制WEB站点存在安全漏洞,允许攻击者利用漏洞访问本地系统文件或读取需要验证的WEB域内容。 安全建议:用户可参考如下厂商提供的安全公告获得补丁信息: http://technet.microsoft.com/en-us/security/bulletin/MS14-005
1.4K50发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://jakarta.apache.org/tomcat/index.html 3 Apache Tomcat 安全限制绕过漏洞 Apache Tomcat 安全限制绕过漏洞发布时间:2014-02-26漏洞号:BUGTRAQ ID: 65773 CVE ID: CVE-2013-4286漏洞描述:Apache 8.html [2] http://tomcat.apache.org/security-7.html [3] http://tomcat.apache.org/security-6.html 4 安全建议:目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.jboss.org/ 5 PostgreSQL远程栈缓冲区溢出漏洞 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.postgresql.org
1.4K80发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
安全建议:Microsoft已经为此发布了一个安全公告(MS14-017)以及相应补丁: MS14-017:Vulnerabilities in Microsoft Word and Office Web Could Allow Remote Code Execution (2922229) 链接:http://technet.microsoft.com/security/bulletin/MS14-019 4 JBoss Enterprise Application Platform Java Security Manager Policy安全绕过漏洞 JBoss Enterprise Application Platform Java Security Manager Policy安全绕过漏洞发布时间:2014-04-09漏洞编号:BUGTRAQ ID: 66596 CVE ID:CVE-2014-0093 Red Hat JBoss Enterprise Application Platform (JBEAP)6.2.2版本中存在安全漏洞。
1.5K60发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
Apache Struts versions 2.0.0- 2.3.16版本中存在安全漏洞,修复CVE-2014-0094漏洞的修补方案中仍然存在缺陷,可被黑客绕过。 Django 1.4.11, 1.5.6, 1.6.3, 1.7 beta 2之前版本在django.core.urlresolvers.reverse函数的实现上存在安全漏洞,远程攻击者通过用用户输入和加点 /security.html 4 HP Universal Configuration Management Database远程代码执行漏洞 HP Universal Configuration Management 安全建议:HP已经为此发布了一个安全公告(HPSBMU02988)以及相应补丁: HPSBMU02988:HP Universal Configuration Management Database, 安全建议:HP已经为此发布了一个安全公告(HPSBMU02935)以及相应补丁: HPSBMU02935:HP LoadRunner Virtual User Generator, Remote Code
1.3K50发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
Microsoft Windows远程桌面协议安全限制绕过漏洞发布时间:2014-06-11漏洞编号:BUGTRAQ ID: 67865 CVE ID: CVE-2014-0296漏洞描述:Windows of Service (2962478) 链接: http://technet.microsoft.com/security/bulletin/MS14-031 4 Microsoft Lync Server Information Disclosure (2969258) 链接: http://technet.microsoft.com/security/bulletin/MS14-032 5 PHP acinclude.m4任意文件覆盖漏洞 PHP acinclude.m4任意文件覆盖漏洞发布时间:2014-06-05漏洞编号:CVE ID: CVE-2014-3981漏洞描述:PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到 PHP 5.5.13及更早版本的配置脚本中使用的acinclude.m4存在安全漏洞,可使本地用户对 /tmp/phpglibccheck文件执行符号链接攻击,从而覆盖任意文件。
1.5K40发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
1 Apache Sling 'AbstractAuthenticationFormServlet'开放重定向漏洞 2 Apache Commons FileUpload ‘DiskFileItem’类空字节任意文件写入漏洞 3 Red Hat JBoss JBoss EAP 身份验证安全绕过漏洞 4 Red Hat JBoss EAP会话ID信息泄露漏洞 5 F5 BIG-IP Traffic Management Microkernel 远程拒绝服务漏洞 6 IBM Domino iNotes 跨站脚本漏洞 7 SAP Sybase ASE XML外部实体注入漏洞 8 Apache mod_fcgid fcgid_header_bucket_read 函数缓冲区溢出漏洞 9 Apache 'mod_accounting'模块SQL注入漏洞 =====================================
1.5K60发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
PHP 5.4.28之前版本在php-fpm.conf.in的实现上存在安全漏洞,本地攻击者可利用此漏洞获取提升的权限并执行任意代码。 ClassLoader篡改安全措施绕过漏洞 Apache Struts ClassLoader篡改安全措施绕过漏洞发布时间:2014-04-30漏洞号:BUGTRAQ ID: 67121 CVE(CAN 攻击者可利用此漏洞绕过某些安全限制并执行未授权操作。 'getClass()'方法安全限制绕过漏洞 Apache Struts 'getClass()'方法安全限制绕过漏洞发布时间:2014-04-29漏洞号:BUGTRAQ ID: 67081 CVE /WW/S2-021 补丁下载:http://struts.apache.org/download.cgi#struts23162 4 Websense多个产品Settings模块凭证泄露漏洞 Websense
2.3K50发布于 2018-04-10
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号