OpenSSL团队于北京时间6月5号晚8点左右发布了5个安全补丁,这次的更新涉及多处高危漏洞,连接:http://www.openssl.org/news/ 受影响的版本包括: OpenSSL 1.0.1 through 1.0.1g OpenSSL 1.0.0 through 1.0.0l all versions before OpenSSL 0.9.8y 未影响版本: OpenSSL 1.0.1h OpenSSL 1.0.0m OpenSSL 0.9.8za 相关漏洞详情: http://…

Struts又爆远程代码执行漏洞!在这次的漏洞中,攻击者可以通过操纵参数远程执行恶意代码.Struts 2.3.15.1之前的版本,参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行. 描述 影响版本 Struts 2.0.0 - Struts 2.3.15 报告者 Takeshi Terada of Mitsui Bussan Secure Directions, Inc. CVE编号 CVE-2013-2251 漏洞证明 参数会以OGNL表…

openssl 又摊上大事了,2014年6月5日,SSL/TLS Man-in-the-Middle Vulnerability 该漏洞使得攻击者能够拦截恶意中间节点加密和解密数据.同一时候强迫使用弱密钥的sslclient暴露在恶意节点中.当软件使用OpenSSL的受影响版本号.通过网页浏览.电子邮件和VPN进行内容和身份验证等加密通讯时会有篡改的风险. 这里介绍openssl的升级方法,当前不受影响的最新版本号为OpenSSL 1.0.1h, wget http://www.openssl.…

漏洞概述 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架.在Struts 2.3.x 系列的 Showcase 应用中演示Struts2整合Struts 1 的插件中存在一处任意代码执行漏洞.当你的应用使用了Struts2 Struts1的插件时,可能导致不受信任的输入传入到ActionMessage类中导致命令执行. 解决方案 向ActionMessage传递原始消息时使用类似下面的资源键值,不要…

太戏剧了,昨晚看了佳片有约,还不错,2012版的<完美回顾>,像我这样的人依旧选择用电视或者去影院看电影,在没有中间插播广告的时候,体验憋尿得过程中,总是能突然有非常多的想法,这是用电脑或者手机看电影所体会不到的.看完以后已经12点半了,突然想再看一遍<黑客帝国>,这下不用电脑不行了,因为电视上没得播...结果正在缓冲的时候,突然看到了旁边的小公告:"OpenSSL再爆严重安全漏洞--CCS注入",完了,电影看不成了,不是说不想看了,突然感觉自己比神还无耻,怎么…

自从著名J2EE框架Apache Struts2被曝出可被远程攻击者利用的执行漏洞后,关于Struts2的安全性便广受关注.近日,安全研究人员则再次发现了Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-045),并定级为高危漏洞. 编号为CVE-2017-5638的该漏洞,是基于Jakarta plugin插件的Struts远程代码执行漏洞.据悉,该漏洞会造成RCE远程代码执行,恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,…

升级OpenSSL修复高危漏洞Heartbleed 背景:          OpenSSL全称为Secure Socket Layer.是Netscape所研发.利用数据加密(Encryption)作技术保障在Internet上传输数据的安全.可确保数据在网络上的传输不会被窃听及截取. 当然,OpenSSL是一个强大的password库,我们在使用SSL协议的时候不一定非得採用OpenSSL,只是眼下基本上都是用的OpenSSL,由于它更安全.使用起来也更简单. 在最近互联网安全协议OpenS…

安全提醒 您的应用静态链接到的 OpenSSL 版本有多个安全漏洞.建议您尽快更新 OpenSSL. 在开头为 1.0.1h.1.0.0m和 0.9.8za的 OpenSSL 版本中这些漏洞已得到修复.要确认您的 OpenSSL版本,您可以执行grep命令 ("$ unzip -p YourApp.apk | strings | grep "OpenSSL"").如需了解有关漏洞的详情,请参阅http://www.openssl.org/news/secadv_20…

[2017.5.4更新] 昨天曝出了两个比较热门的漏洞,一个是CVE-2016-10033,另一个则为CVE-2017-8295.从描述来看,前者是WordPress Core 4.6一个未经授权的RCE漏洞.不过实际上,这就是去年12月份FreeBuf已经报道的漏洞,因此我们在原文基础上进行更新. 这次漏洞公告就是PHPMailer漏洞利用细节在WordPress核心中的实现.未经授权的攻击者利用漏洞就能实现远程代码执行,针对目标服务器实现即时访问,最终导致目标应用服务器的完全陷落.无需插件或…

花了两天时间,特此记录 一:背景: 2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞. 二:漏洞产生原理: 1.需要知道对应跳转请求的action名称 2.Struts2框架中的属性设置为: 1) struts.mapper.alwaysSelectFullNamespace = true 2) type = “redirectAction”或 type = “chain” 三:恶意代码运行过程: 1. struts2-c…