- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈程序员必看
心血漏洞(OpenSSL升级)
查看系统OpenSSL版本:openssl version,查看该版本是否存在心血漏洞,受影响版本为:1.0.1—1.0.1f / 1.0.2 Beta1 下载最新的OpenSSL安装包并上传到服务器
76910编辑于 2022-09-09 - 来自专栏小麦苗的DB宝专栏
OpenSSL升级及其漏洞说明
当然,OpenSSL是一个强大的password库,我们在使用SSL协议的时候不一定非得採用OpenSSL,只是眼下基本上都是用的OpenSSL,由于它更安全。使用起来也更简单。 在该版本中,许多安全漏洞已被修复,包括Heartbleed漏洞、POODLE漏洞、BEAST漏洞等。但是,与任何软件一样,它可能会存在未知的漏洞或新的安全威胁。 因此,建议及时更新到最新版本的OpenSSL,以获取最新的安全修复和功能更新,并遵循最佳的安全实践,例如使用安全协议(例如TLS 1.2或更高版本)、启用必要的加密算法、禁用不安全的加密算法等,以最大程度地保护系统的安全性 在互联网安全协议OpenSSL v1.0.1到1.0.1f的password算法库中发现了一个很严重bug(CVE-2014-0160),该bug同意攻击者读取存在bug的系统的64k处理内存,暴露加密流量的密钥 DGHASH_ASM -DECP_NISTZ256_ASM OPENSSLDIR: "/etc/pki/tls" engines: dynamic [root@test openssl-1.1.1q]# 编译升级
3.1K10编辑于 2023-04-27 - 来自专栏技术篇
TCPIP协议常见漏洞类型
摘要:TCP/IP由网络层的IP协议和传输层的TCP协议组成。常见的漏洞类型包括ARP病毒攻击、基于RIP的攻击、DNS欺骗、TCP 连接欺骗。 由于TCP/IP协议是一个开放性的协议导致其在TCP/IP 协议栈中,绝大多数协议没有提供必要的安全机制,存在一定的漏洞安全问题。 TCP/IP 协议常见漏洞类型ARP 病毒攻击ARP病毒攻击的工作原理是通过伪造通信双方一端的IP地址或 MAC 地址,让另一端误以为该主机为正确主机从而达到欺骗目的。 TCP 连接欺骗虽然TCP协议是一种可靠的链路层协议,但是由于每台主机的IP地址在每次上网的时候都可能发生改变,因此攻击者可以通过这个漏洞扰乱两台主机的TCP连接。 图片那么面对TCP/IP协议常见漏洞我们要如何预防呢?我们下一篇接着讲。
1K40编辑于 2022-07-13 - 来自专栏乱七八糟技术日常
SSH漏洞修复-升级openssh
修复解决漏洞 解决OPenssh7.x以前的绝大多数问题 OpenSSH 命令注入漏洞(CVE-2020-15778) OpenSSH 用户枚举漏洞(CVE-2018-15919) OpenSSH 安全漏洞 (CVE-2017-15906) 升级能解决绝大多数的问题 安装依赖环境 yum -y install rpm-build gcc gcc-c++ glibc glibc-devel openssl-devel
3.9K10编辑于 2022-09-26 - 来自专栏科技前线
升级Bash修复Shellshock漏洞
除了CVE-2014-6271之外,打了Shellshock补丁后的几天内又发现了许多其他相关漏洞。本指南将告诉你如何安全地升级Linux发行版并保护Linode免受Bash漏洞攻击。 安装升级 以下是升级Bash并确保你的Linode不再容易受到此漏洞攻击的相关信息。每个部分都是为不同的发行版而设计的。以下的说明基于你具有root权限或sudo权限。 OpenSUSE 要针对OpenSUSE上的漏洞升级Bash,运行: zypper patch --cve=CVE-2014-7187 重新运行本文档“检查漏洞”部分中的命令,确保已升级。 Slackware 要针对Slackware上的漏洞升级bash,必须使用slackpkg升级Bash包: slackpkg update slackpkg upgrade bash 完成后,请重新运行本文档 “检查漏洞”部分中的命令,确保已升级。
2.2K20发布于 2018-08-29 - 来自专栏devops_k8s
Nginx升级加固SSLTLS协议信息泄露漏洞(CVE-2016-2183)和HTTP服务器的缺省banner漏洞
Nginx升级加固SSL/TLS协议信息泄露漏洞(CVE-2016-2183) 漏洞说明 // 基于Nginx的https网站被扫描出SSL/TLS协议信息泄露漏洞(CVE-2016-2183),该漏洞是在安装 Nginx时build的Openssl版本问题导致的漏洞, // 需要重新编译安装Nginx并指定版本的Openssl(可以不升级系统的openssl,编译过程中只要指定新的openssl路径即可)。
3.6K50发布于 2020-09-27 - 来自专栏瞳瞳too的学习笔记
PHP漏洞学习一 ——伪协议
伪协议 一、示例代码 题目提示:伪协议(考点:伪协议读取、系统进程) 伪协议读取flag.php,/proc/self指向当前进程的 显示代码 <? __); require_once 'flag.php'; if(isset($_GET['file'])) { require_once $_GET['file']; } 相关知识:PHP伪协议 PHP伪协议详解 require_once 绕过不能重复包含文件的限制 构造Payload: ? 本文链接:https://cloud.tencent.com/developer/article/2371703 本站未注明转载的文章均为原创,并采用 CC BY-NC-SA 4.0 授权协议
40120编辑于 2023-12-18 - 来自专栏运维猫
Linux升级OpenSSH修复高危漏洞
1、查看当前版本信息 [root@mast ~]# ssh -V OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017 2、安装基础组件 [root@mast ~]# yum install gcc gcc-c++ openssl-devel autoconf automake zlib zlib-devel pcre-devel pam-devel rpm-build pam-devel telnet -y 3、卸载系统老版本openssh,备份配置文件 [roo
13.1K60发布于 2020-07-29 - 来自专栏技术记录
解决NTPD漏洞,升级Ntpd版本
关于解决漏洞的问题我就不详说了,主要就是升级版本。 这里我们就直接简单记录下步骤: 1、升级 使用root用户登录系统进入到/home/guankong ,上传ntp-4.2.8p9-1.el6.x86_64.rpm到该目录下 2.安装依赖包 yum
2.6K50发布于 2018-01-30 - 来自专栏技术记录
解决openssh漏洞,升级openssh版本
关于解决漏洞的问题我就不详说了,主要就是升级版本。 这里我们就直接简单记录下步骤: 1、升级 使用root用户登录系统进入到/home/guankong ,上传openssh-6.6p1.tar.gz到该目录下 1: 备份原rpm启动脚本到当前路径下 -prefix=/usr --sysconfdir=/etc/ssh --without-zlib-version-check 8:make 编译 9:make install 安装 10:检查是否升级成功 #ssh –V 下图为升级成功 11:vi /etc/ssh/sshd_config 修改配置文件(参照下方sshd配置文件安全配置要求) 12:拷贝启动脚本到/etc/init.d/下 #cp /root
5K91发布于 2018-01-30 - 来自专栏网站漏洞修补
网站漏洞修复工具对jsop协议漏洞分析
六一儿童节快到了,最近出了太多太多的漏洞,像前几天被爆出的cve-2019-0708漏洞,利用的是windows服务器远程桌面rdp协议进行的攻击,今天来给大家送一个礼物是关于网站方面的,jsonp漏洞可以导致 关于网站漏洞的JSONP劫持漏洞,我们来详细的分析看下。 如下图: JSONP漏洞应该算是属于csrf攻击,诱导用户点击并获取用户的账号密码等敏感信息,CSRF攻击还远远不止光可以获取用户的账号密码,还是做其他攻击用途,我们在日常的安全检测当中还遇到过csrf 网站漏洞修复建议: 对调用到的json文件以及接口进行安全限制,判断用户来路Referer,对所有的用户请求设置token,统一值,对json格式的输出编码设置为utf8,对callbak回调参数以及json 的数据通信严格的把控,jsonp请求与返回的值进行长度检查,对一些特殊字符尤其csrf攻击字符进行过滤,比如*&#斜杠等等的字符,如果对代码不熟悉的话建议联系专业的网站安全公司或网站漏洞修复公司来处理解决
83540发布于 2019-05-21 - 来自专栏FreeBuf
WPA2 安全协议惊现高危漏洞,几乎涉及所有 WiFi 设备(附固件升级列表)
近日,鲁汶大学的研究人员 Mathy Vanhoef 在 WPA2 协议中发现了严重的安全漏洞,这对无线网络的安全造成了极大的考验。 本文简要介绍了此次攻击的技术原理、PoC视频、附件升级列表和安全从业人员对此事的看法与建议。 WPA2: Wi-Fi Protected Access II 协议,该协议被广泛用来保护现有的 WiFi 网络,已经有13年历史之久。 KRACK 工作原理 Mathy Vanhoef 发现,在对流量进行加密的过程中,需要创建一个密钥,而 KRACK 攻击正是利用了此过程中 WPA2 协议中的四次握手存在漏洞。 固件升级列表 为了保护无线安全,许多 WiFi 产品供应商都为其产品发布了 最新的固件更新和驱动程序。FreeBuf 在这里也强烈建议大家抓紧时间更新硬件。
2K90发布于 2018-02-27 - 来自专栏国产程序员
服务器 OpenSSH 漏洞修复 or 升级
(CVE-2019-6111)厂商补丁:目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://www.openssh.com/ OpenSSH信息泄露漏洞(CVE-2020-14145 OpenSSH 用户枚举漏洞(CVE-2018-15919)修复版本:openssh > 7.8版本 厂商升级:OpenSSH 请用户关注OpenBSD官方发布的补丁修复漏洞: https://www.openssh.com / https://www.openssh.com/portable.html OpenSSH 安全漏洞(CVE-2017-15906)厂商补丁:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https r1=1.197&r2=1.198&f=h OpenSSH 授权问题漏洞(CVE-2021-36368)受影响的用户及时更新升级到最新版本 OpenSSH CBC模式信息泄露漏洞(CVE-2008-5161 ssh协议协商过程就是服务端要返回其支持的算法列表。 SSH版本信息可被获取无法处理。
5.7K30编辑于 2022-11-16 - 来自专栏绿盟科技安全情报
【漏洞通告】Treck TCPIP协议库“ Ripple20”漏洞通告
通告编号:NS-2020-0039 2020-06-30 TAG:Treck、TCP/IP协议库、Ripple20 漏洞危害:攻击者利用此类漏洞,可造成拒绝服务、远程代码执行等。 Treck TCP/IP是专门为嵌入式系统设计的高性能TCP/IP协议套件,这一系列漏洞都为内存损坏问题,源于使用不同协议(包括IPv4,ICMPv4,IPv6,IPv6OverIPv4,TCP,UDP ,请有部署设备的用户升级至最新版本使用。 本次升级Treck漏洞指纹库后,可以主动探测内网使用Treck协议栈的物联网设备,并对这类设备产生告警。 ? ? 4漏洞防护 4.1 官方升级 目前官方已在最新版本中修复了该漏洞,请相关用户排查基于Treck公司TCP/IP协议的设备使用情况,并及时升级至6.0.1.67或更高版本。
1.6K20发布于 2020-07-02 - 来自专栏Tencent Serverless 官方专栏
Web Function 能力升级,原生支持 WebSocket 协议
在一期能力的基础上,Web Function 现已支持 WebSocket 协议,实现客户端和函数运行的服务端间建立长连接。 01. 工作原理 1. 连接建立后,客户端及服务端按 WebSocket协议进行正常通讯。 2. 创建函数 在通过控制台创建函数时,可以通过选择自定义创建、选择 Web 函数、展开高级配置来看到协议支持选项。 通过勾选 WebSocket 支持,配置好 WebSocket 空闲超时时间,来完成 WebSocket 协议支持。 在完成创建后,WebSocket 的协议支持不可取消,但可以根据需求修改空闲超时时间配置。 03.
97310发布于 2021-10-25 - 来自专栏云计算linux
Apache Struts重现严重漏洞,你升级了吗?
Apache Software Foundation 发布了一个安全公告 S2-062,以解决 Struts 2.0.0 到 2.5.29 版本中存在的一个远程代码执行漏洞;攻击者可以利用此漏洞来控制受影响的系统 对此,美国网络安全和基础设施安全局 (CISA) 也发布公告敦促组织查看 Apache 的公告,并尽快升级到最新的 Struts 2 补丁版本。 该漏洞被跟踪为 CVE-2021-31805,是由于 2020 年 CVE-2020-17530 (S2-061) 的不完整修复造成的。 也就是说,这一漏洞早在 2020 年就已存在且当时被认为已修复,但事实证明问题并未完全得到解决。 作为解决措施,Apache 方面建议开发人员避免基于不受信任的用户输入在标签属性中使用强制 OGNL 评估,和/或升级到 Struts 2.5.30 或更高版本,以检查表达式评估是否不会导致双重评估。
28010编辑于 2024-12-13 - 来自专栏技术篇
关于TCPIP协议漏洞的安全措施
摘要:上篇TCP/IP协议常见漏洞类型我们介绍了TCP/IP协议中常见的漏洞类型包括ARP病毒攻击、基于RIP的攻击、DNS欺骗、TCP连接欺骗。 面对TCP/IP协议中存在的漏洞我们要采取什么样的安全措施去预防和解决呢? 二、TLS协议TLS 协议工作在传输层,由于TCP和UDP都有可被利用的漏洞,因此它是为了解决传输层链路安全问题而出现的。TLS 分为两种协议,分别是 TLS 记录协议和 TLS 握手协议。 (1)提高系统安全性定期更新操作系统补丁,及时升级杀毒软件病毒库,并开启杀毒软件的实时监控功能,防止系统被非法入侵或感染ARP病毒,但是这种防御方法只能防止本机感染ARP病毒,并不能有效防御ARP欺骗。 除此,应该做好 DNS Server的安全配置项目和升级DNS软件,合理限定 DNS Server进行响应的IP地址区间,关闭DNS Server的递归查询项目等。
1.2K30编辑于 2022-07-15 - 来自专栏Naraku的专栏
实习记录(五) - AJP协议文件读取漏洞
漏洞介绍 Tomcat在 server.xml中配置了两种连接器: HTTP Connector:监听8080端口,负责建立HTTP连接。 AJP Connector:监听8009端口,负责和其他的HTTP服务器建立连接,通过AJP协议和另一个Web容器进行交互。 Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。 而Tomcat服务器8009端口上的AJP协议存在漏洞,攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件,如:webapp配置文件或源代码等 影响版本 Apache Tomcat Apache-Tomcat-Ajp漏洞(CVE-2020-1938)漏洞复现 工具 hypn0s/AJPy 00theway/Ghostcat-CNVD-2020-10487 YDHCUI/CNVD
1.2K30发布于 2021-07-29 - 来自专栏今天有没有多懂一点工业安全
思科CDP协议爆出5个致命漏洞
这些漏洞统称为“ CDPwn”,位于各种实施方式的思科交付协议(CDP)中,默认情况下,该协议在几乎所有思科设备上均已启用,并且无法关闭。 CDPwn漏洞出现在思科发现协议(CDP)数据包的处理环节,表明了第2层协议对网络安全状况可能带来的影响。 Cisco设备的CDPwn漏洞列表如下: Cisco NX-OS软件Cisco发现协议远程执行代码漏洞(CVE-2020-3119) Cisco IOS-XR-CDP格式字符串漏洞(CVE-2020-3118 XR和NX-OS软件思科发现协议拒绝服务漏洞(CVE-2020-3120) 攻击方式 应当指出的是,由于CDP是不能跨越局域网边界的数据链路第2层协议,因此攻击者必须首先在同一网络上才能利用CDPwn 尽管很少会探索这些协议的实现,但是在其中发现的任何漏洞都会对解析它们的网络设备的安全性以及它们所服务的网络的完整性产生严重影响。
92610编辑于 2022-05-10 - 来自专栏网站漏洞修复
网站漏洞修复公司对JSONP协议检测
六一儿童节快到了,最近出了太多太多的漏洞,像前几天被爆出的cve-2019-0708漏洞,利用的是windows服务器远程桌面rdp协议进行的攻击,今天来给大家送一个礼物是关于网站方面的,jsonp漏洞可以导致 关于网站漏洞的JSONP劫持漏洞,我们来详细的分析看下。一般网站在设计功能过程加入jsonp实例代码,比如下面这一段,图1: ? JSONP漏洞应该算是属于csrf攻击,诱导用户点击并获取用户的账号密码等敏感信息,CSRF攻击还远远不止光可以获取用户的账号密码,还是做其他攻击用途,我们在日常的安全检测当中还遇到过csrf防护使用了 网站漏洞修复建议: 对调用到的json文件以及接口进行安全限制,判断用户来路Referer,对所有的用户请求设置token,统一值,对json格式的输出编码设置为utf8,对callbak回调参数以及json 的数据通信严格的把控,jsonp请求与返回的值进行长度检查,对一些特殊字符尤其csrf攻击字符进行过滤,比如*&#斜杠等等的字符,如果对代码不熟悉的话建议联系专业的网站安全公司或网站漏洞修复公司来处理解决
2.1K30发布于 2019-07-24
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号