安全漏洞

WordPress 可以触发 Linux 上的 Ghost 缺陷

建议用户马上更新可用的补丁 这个漏洞之前由Qualys的安全研究员发现,并取了绰号叫Ghost,可以利用WordPress或其他PHP应用来攻击网站服务器。 这个瑕疵是一个缓冲区溢出问题,可以被攻击者触发用来获取Linux主机的命令行执行权限。发生在glibc的__nss_hostname_digits_dots()函数中,它会被gethostbyname()函数用到。 PHP应用可以用来利用这个瑕疵 Sucuri的Marc-Alexandre Montpas说之所以这个问题很重要是因为这些函数在大量软件和服务器系统使用。 说这是个严重问题的一个例子是WordPress本身:它使用一个叫wp_http_validate_url()的函
2015-03-16
2分钟阅读时长
技术

Tomcat 全系列发现严重安全漏洞

据 Tomcat 安全组确认,Tomcat 全系列产品均被发现严重安全漏洞:CVE-2014-0227 请求夹带漏洞。 级别:严重 受影响版本: Apache Tomcat 8.0.0-RC1 to 8.0.8 Apache Tomcat 7.0.0 to 7.0.54 Apache Tomcat 6.0.0 to 6.0.41 描述:可以通过构造一个截断请求而在请求数据中夹带一个新的请求。 解决方案 升级到最新版本: 升级到 Apache Tomcat 8.0.9 及其以上 升级到 Apache Tomcat 7.0.55 及其以上 升级到 Apache Tomcat 6.0.43 及其以上(6.0.42 包含了该修复,但是并未发布)
2015-02-10
1分钟阅读时长
新闻

Bash 惊现年度最大安全漏洞!

Linux 用户今天又得到了一个惊喜! Red Hat 安全团队在 Linux 中广泛使用的 Bash shell 中发现了一个隐晦而危险的安全漏洞。该漏洞被称作Bash Bug或Shellshock。 当用户正常访问,该漏洞允许攻击者的代码像在 shell 中一样执行,这就为各种各样的攻击打开了方便之门。而且,更糟糕的是该漏洞已经在 Linux 中存在很久了,所以修补某个 Linux 机器很容易,但是要全部修补,几乎不可能完成。 Red Hat 和 Fedora 已经发布了针对该漏洞的修补程序。该漏洞也会影响 OS X,不过苹果公司尚未发布正式的修补程序。 这个 Bash 漏洞可能比 Heartble
2014-09-25
2分钟阅读时长
新闻

Ubuntu 14.04中Dpkg的漏洞已被修复

Canonical宣布存在于Ubuntu 14.04 LTS,Ubuntu 13.10,Ubuntu 12.10,Ubuntu 12.04 LTS以及Ubuntu 10.04 LTS操作系统中的dpkg漏洞已经被修复。 Canonical公司刚刚放出dpkg包的一个更新,修复了这个用于所有Ubuntu版本的重要软件中的一个问题。 我们发现这个问题出现在dpkg在解压源码包的时候,它会使dpkg不能正确地处理某些补丁。如果一位用户或一个自动化系统被欺骗而解压了特别修改过的源码包,远程攻击者就能修改目标解压路径之外的文件,导致拒绝服务攻击或潜在的获取系统权限的风险。安全通知中这样写道。 想了解这个问题的更多细节
2014-06-14
2分钟阅读时长
新闻

新的OpenSSL分支未包含Heartbleed漏洞,但需要认真看待

摘要:当被最新的OpenSSL安全问题困扰时,你最好解决它,虽然它并不像Heartbleed那样糟糕。 这一周对于开源的Secure Socket Layer (SSL)来说真是糟糕的一周。 首先,GnuTLS低调的宣称,存在一个不大但确实存在的缺陷。然后,大范围流行的OpenSSL被发现包含一个中间人漏洞。在Heartbleed漏洞惨剧后,OpenSSL该醒醒了。 这个漏洞,根据谷歌高级软件工程师Adam Langley描述,已经至少存在了15年时间。可惜Core Infrastructure Initiative(CII)提供了让更多的程序员来拯救OpenSSL的资金,却尚未来得及发挥作用。 也就是说这个漏洞依然是和
2014-06-09
4分钟阅读时长
新闻

Ubuntu修复了14.04 LTS 上锁屏的安全漏洞

Canonical公司已经修补了Ubuntu 14.04 LTS上一个重大的安全漏洞 这个漏洞可能让攻击者不需要输入密码而获取一个用户账户。 锁屏绕开问题在本周早些时候已经发表在了Launchpad上,漏洞修复现在已经发布。 它描述了一种方法,通过这个方法可以在没有授权的情况下访问那些使用新的Unity锁屏并处于锁屏状态的用户账户。 如何做呢?右键点击指示器程序直到Alt+F2快捷键能奏效。这时,你就可以发出命令,打开程序,访问日期,甚至通过运行compiz replace命令打开会话。 漏洞演示的一个视频可以在YouTube上看到。 这个漏洞的攻击仅能影响到本地
2014-05-10
2分钟阅读时长
新闻

Ubuntu 10.04 LTS受到Linux新内核漏洞影响

几天前,Canonical宣布了一个关于安全方面的通告,Ubuntu 10.04 LTS(Lucid Lynx)的更新的内核修复了之前发现的四个安全漏洞。 这四个内核漏洞是:CVE-2013-1060, CVE-2013-1943, CVE-2013-2206, CVE-2013-4162 。 …
2013-09-12
1分钟阅读时长
新闻