摘要:
今早有国外安全研究人员在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞,并给出了利用测试的EXP代码。在本地搭建Drupal7.31的环境,经过测试,发现该利用代码可成功执行并在数据库中增加一个攻击者自定义的用户。测试代码:(请勿用于非法用途)POST/drupal-7.31/... 阅读全文
摘要:
今天上午,Google发布了一份关于SSLv3漏洞的简要分析报告。根据Google的说法,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。截止到发文前,还没有任何补丁放出... 阅读全文
摘要:
9月25日,国外曝出一个“毁灭级”的Bash漏洞,黑客可利用此漏洞远程执行任意命令,完全控制目标系统!该漏洞编号为CVE-2014-6271,主要存在于bash 1.14 - 4.3版本中,受影响的系统包括:Red Hat企业Linux (versions 4-7) 、Fedora distribu... 阅读全文
摘要:
看乌云有人爆了这个漏洞:http://www.wooyun.org/bugs/wooyun-2014-071516感觉应该是editpost.inc.php里投票的漏洞。因为dz已经确定不会再修补7.x以前的漏洞了,所以直接贴细节吧 。问题出在 editpost.inc.php的281行,对用户提交... 阅读全文
摘要:
Samba4.0.0到4.1.10版本的nmbd(theNetBIOS name services daemon)被发现存在远程命令执行漏洞。CVE编号为CVE-2014-3560。目前官方已经发布最新的补丁。下面是官方公布的漏洞概要:================================... 阅读全文
摘要:
测试方法:提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!Discuz 7.2 /faq.php SQL注入漏洞http://www.xxx.com/faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and (sele... 阅读全文
摘要:
OpenSSL团队于北京时间6月5号晚8点左右发布了5个安全补丁,这次的更新涉及多处高危漏洞,连接:http://www.openssl.org/news/受影响的版本包括:OpenSSL 1.0.1 through 1.0.1gOpenSSL 1.0.0 through 1.0.0lall ver... 阅读全文
摘要:
Elasticsearch is a powerful open source search and analytics engine. The vulnerability allows attackers read from or append to files on the system hos... 阅读全文
摘要:
CNVD-IDCNVD-2014-01552发布时间2014-03-11危害级别高影响产品Apache struts 2.0.0-2.3.16BUGTRAQ ID65999CVE IDCVE-2014-0094漏洞描述Apache Struts框架是一个基于Java Servlets,JavaBea... 阅读全文
摘要:
受影响产品:rsync 3.1.0漏洞描述:CVE ID:CVE-2014-2855 rsync是一款文件同步管理软件。rsync处理不存在用户时存在安全漏洞,可消耗大量CPU资源,造成拒绝服务攻击。安全建议:目前厂商已经发布了升级补丁以修复漏洞,请下载使用:https://git.samba.or... 阅读全文