【漏洞公告】CVE-2016-5195:“脏牛(Dirty Cow)”漏洞-Linux 内核本地提权漏洞 通告及修复 - 安全公告和技术
漏洞编号CVE-2016-5195
漏洞名称脏牛(Dirty COW)官方定级高危
漏洞危害黑客通过远程入侵获取低权限用户后,利用该
漏洞在全版本Linux系统服务器上实现本地提权,从而获取到服务器root权限。
漏洞利用条件黑客通过远程入侵获取低权限 ...
【漏洞公告】CVE-2017-2824:Zabbix远程代码执行漏洞和数据库写入高危漏洞 - 安全公告和技术
近期,开源网络监控软件zabbix被披露存在两个高危
漏洞。通过这两个高危
漏洞,攻击者可以直接远程代码执行并向数据库写入任何数据,带来数据泄露风险。
漏洞详情见下文。
漏洞编号CVE-2017-2824
漏洞名称Zabbix Server ...
【安全漏洞公告】Intel处理器Meltdown和Spectre安全漏洞公告 - 安全公告和技术
北京时间2018年01月03日,Intel处理器芯片被爆出存严重安全
漏洞,该
漏洞事件源于芯片硬件层面的设计BUG,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题。
漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证 ...
【漏洞公告】“Phoenix Talon” Linux 内核漏洞 - 安全公告和技术
近期,Linux内核曝出名为“Phoenix Talon”的一系列远程执行
漏洞,其中一个
漏洞为严重(Critical)级别,另外三个为高危(High)。这四个
漏洞的影响范围包括所有Linux kernel 2.5.69 ...
【漏洞公告】PHPCMS前台任意文件上传漏洞 - 安全公告和技术
2017年4月10日,PHPCMS暴露了一个高危
漏洞。该
漏洞可以通过前台页面直接上传任意文件,从而获取到网站的管理权限。该
漏洞的POC已经公开,风险极高。
漏洞详情见下文。
漏洞编号暂无
漏洞名称PHPCMS前台任意文件上传
漏洞官方评级高危 ...
【漏洞公告】NTP DOS多处漏洞 - 安全公告和技术
2016年11月21日,NTF的Network Time Protocol (NTP)项目发布了ntp-4.2.8p9版本。此次更新修复了10个
漏洞,其中1个高危,2个中危,2个中低危,5个低危;其中部分
漏洞可以造成远程拒绝服务。
漏洞详情见下文 ...
【漏洞公告】Spring Framework多个CVE漏洞预警 - 安全公告和技术
2018年4月5日,Spring官方宣布在Spring Framework 5.0.5 和 4.3.15 修复了3个CVE
漏洞(CVE-2018-1270,CVE-2018-1271,CVE-2018-1272)。其中CVE-2018-1270为远程代码 ...
【漏洞公告】CVE-2018-2562-2591:MySQL多个安全漏洞 - 安全公告和技术
美国时间2017年12月16日,Oracle官方发布安全公告。该次公告修复MySQL服务25个安全
漏洞,在这些安全
漏洞中,影响较大的CVE-2018-2696
漏洞,它可以在无需认证的条件下,被远程利用发动拒绝服务攻击。本次安全公告披露的安全
漏洞数量较多 ...
【漏洞公告】CVE-2018-1305/1304:Apache Tomcat安全机制绕过漏洞 - 安全公告和技术
2018年2月23日,Apache发布安全公告。公告显示Apache Tomcat 7、8、9存在安全绕过
漏洞,CVE编号CVE-2018-1305、CVE-2018-1304。攻击者可以利用这个问题,绕过某些安全限制,来执行未经授权的操作。由于 ...
【漏洞公告】CVE-2017-8620:Windows Search 远程代码执行漏洞 - 安全公告和技术
2017年8月8日,微软官方在例行补丁日发布编号为CVE-2017-8620的
漏洞公告。攻击者利用该
漏洞在目标系统执行任意代码,发动拒绝服务攻击,安全风险为高危。
漏洞详情见下文。
漏洞编号: CVE-2017-8620
漏洞名称: Windows ...
【漏洞公告】CVE-2016-10033:PHPMailer远程代码执行漏洞 - 安全公告和技术
近日,波兰研究人员 Dawid Golunski 发现了一个存在于PHPMailer中的严重的远程代码执行
漏洞。该
漏洞已在legalhackers.com上公布,但
漏洞利用细节和概念验证并未包括在内。
漏洞详情见下文。
漏洞编号CVE-2016 ...
【漏洞公告】CVE-2017-5638:基于 Jakarta plugin插件的Struts远程代码执行漏洞(S2-045) - 安全公告和技术
2017年3月6日,Apache Struts 2被曝存在远程命令执行
漏洞,
漏洞编号为S2-045,CVE编号为CVE-2017-5638。在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。
漏洞详情见下文 ...
【漏洞公告】CVE-2017-9798:“Optionsbleed”-Apache HTTP OPTIONS方法内存泄露漏洞 - 安全公告和技术
2017年9月18日,Apache被爆存在高安全风险
漏洞,
漏洞CVE编号为CVE-2017-9798。该
漏洞发现于Apache HTTP软件2.2.34/2.4.27版本,由Limit指令的函数ap_limit_section触发。当网站管理员尝试使用 ...
【漏洞公告】CVE-2017-9791:Struts(S2-048)远程命令执行漏洞 - 安全公告和技术
2017年7月7日,Apache Struts发布最新的安全公告,公布了CVE编号为CVE-2017-9791的
漏洞。该
漏洞存在Struts2和Struts1一个Showcase插件Action Message类中,攻击者可构建不可信的输入实现远程命令 ...
【漏洞公告】FineCMS前台tx参数存在代码执行漏洞 - 安全公告和技术
2017年7月31日,CNVD发布关于Finecms的安全
漏洞通告。FineCMS 5.0.7版本前台tx参数存在代码执行
漏洞。远程攻击者无需登录即可执行任意代码,从而获取服务器权限,安全风险较高。
漏洞详情见下文。
漏洞编号CNVD-2017 ...
【漏洞公告】CVE-2017-11610:Supervisord 远程命令执行漏洞 - 安全公告和技术
Supervisord是一款用Python语言开发的管理后台应用(服务)的工具,方便运维人员使用图形化界面进行管理。近期,Supervisord曝出了一个需认证的远程命令执行
漏洞(CVE-2017-11610)。通过POST请求向Supervisord ...
【漏洞公告】CVE-2017-1000367:Sudo本地提权漏洞 - 安全公告和技术
2017年5月30日,国外安全研究人员发现在Linux环境下,可以通过sudo实现本地提权的
漏洞。该
漏洞编号为CVE-2017-1000367,它几乎影响所有Linux系统。阿里云云盾提醒您关注该
漏洞并及时更新补丁,避免攻击者利用该
漏洞发动提权攻击 ...
【漏洞公告】CVE-2017-2608:Jenkins远程代码执行漏洞 - 安全公告和技术
2017年2月1日,Jenkins官方发布了新一轮的安全
漏洞公告,该公告包括18个不同等级的安全
漏洞。其中,1个高危
漏洞可以导致使用Jenkins用户遭受远程代码执行攻击,存在严重的安全分风险,目前官方已经发布了修复该
漏洞的产品版本。
漏洞详情见下文 ...
【漏洞公告】CVE-2017-8046:Spring Data REST远程代码执行漏洞 - 安全公告和技术
2017年9月21日,流行的Java框架spring被发现一个高危
漏洞,
漏洞CVE编号为CVE-2017-8046。黑客可以利用该
漏洞远程执行命令,使用了spring框架的业务存在高安全风险。
漏洞详情见下文。
漏洞编号CVE-2017-8046 ...
【漏洞公告】Git、SVN、Mercurial版本控制系统存在远程命令执行漏洞 - 安全公告和技术
近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行
漏洞。恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发
漏洞,执行恶意 ...
【漏洞公告】CVE-2016-1247:Debian、ubuntu发行版的Nginx本地提权漏洞 - 安全公告和技术
2016年11月15日,国外安全人员Dawid Golunski发现Debian、Ubuntu发行版的Nginx存在本地提权
漏洞。该
漏洞由于Debian、Ubuntu发行版的Nginx在新建日志目录时使用了不安全的权限导致,使本地恶意攻击者可以从 ...
【漏洞公告】CVE-2018-7600:Drupal内核远程代码执行漏洞 - 安全公告和技术
2018年3月28日,Drupal官方发布新补丁和安全公告,宣称Drupal 6,7,8等多个子版本存在远程代码执行
漏洞,攻击者可以利用Drupal网站
漏洞,执行恶意代码,导致网站被完全控制。
漏洞详情见下文。
漏洞编号CVE-2018-7600 ...
【漏洞公告】CVE-2017-15718:Apache Hadoop YARN NodeManager信息泄露漏洞 - 安全公告和技术
Apache Hadoop YARN NodeManager 存在CVE编号为CVE-2017-15718的信息泄露
漏洞。攻击者可能利用该
漏洞获得应用密码,受影响的Apache Hadoop版本有 2.7.3及2.7.4。该
漏洞是由于CVE-2016 ...
【漏洞公告】Apache httpd 多个安全漏洞 - 安全公告和技术
2017年6月19日,Apache httpd被曝出多个安全
漏洞,
漏洞编号为:CVE-2017-3167,CVE-2017-3169,CVE-2017-7659,CVE-2017-7668,CVE-2017-7679。这些
漏洞的安全风险较高,阿里云安全 ...
【漏洞公告】CVE-2017-1000253:Linux PIE/stack 内存破坏漏洞 - 安全公告和技术
2017年9月26日,OSS-SEC邮件组中发布了Linux内核相关的
漏洞信息。该
漏洞编号为 CVE-2017-1000253,它可以被利用来获取本地权限提升,存在安全风险。受影响的Linux发行版已发布了针对该
漏洞的更新补丁。
漏洞详情见下文。
漏洞 ...
【漏洞公告】WordPress WPDB SQL注入漏洞 - 安全公告和技术
2017年10月30日,WordPress官方发布4.8.3版本修复了一个重要的SQL注入
漏洞。该
漏洞由于WordPress中$wpdb编码不规范,可以接收和执行不安全的查询,导致潜在的SQL注入,存在高安全风险。
漏洞详情见下文。
漏洞编号暂无 ...
【漏洞公告】Typecho 前台无限制getshell漏洞 - 安全公告和技术
2017年10月25日,阿里云安全情报中心监测到中国博客软件Typecho存在由反序列化导致的任意代码执行
漏洞。攻击者可以利用该
漏洞无限制执行代码,获取webshell,存在高安全风险。Typecho是一个基于PHP的简单,轻巧的博客程序,它使用多种 ...
【漏洞公告】CVE-2017-0004:微软LSASS远程攻击漏洞 - 安全公告和技术
北京时间1月11日凌晨,微软发布2017年第一波补丁,修复了非常罕见的LSASS远程拒绝服务
漏洞(CVE-2017-0004)。黑客利用该
漏洞发送恶意数据包,可以让受攻击的目标系统关键进程崩溃,出现类似“冲击波”攻击的倒计时60秒 ...
【安全漏洞通告】EDAS客户机中fastjson安全漏洞通告及解决方案 - 企业级分布式应用服务 EDAS
近日,阿里云应急响应中心监测到fastjson爆发新的反序列化远程代码执行
漏洞,黑客利用
漏洞,可绕过autoType限制,直接远程执行任意命令攻击服务器,风险极大。请参照下面的公告内容升级EDAS客户机(导入到EDAS中的ECS ...
【漏洞公告】Git安全漏洞导致任意代码执行 - 安全公告和技术
2018年5月30日,阿里云云盾应急响应中心监测Git开发团队发布安全更新解决远程代码执行
漏洞(CVE-2018-11235)。此
漏洞为攻击者通过建立一个恶意的Git仓库包含一个精心定制的Git子模块,同时攻击者需要诱骗受害者clone恶意存储库,从而在 ...
【安全漏洞通告及解决方案】【EDAS K8s 集群】关于 Apache Tomcat AJP 漏洞(2020年02月24日) - 企业级分布式应用服务 EDAS
,因此攻击者可以读取 webapp 配置文件或源代码。如果目标应用支持文件上传功能,攻击者可以向服务端上传含有恶意 JSP 脚本代码的文件,然后利用
漏洞进行文件包含,从而达到远程代码执行获取服务器权限等攻击目的。攻击者通过
漏洞利用AJP ...
【漏洞公告】Dedecms 变量覆盖漏洞 - 安全公告和技术
漏洞描述Dedecms 5.5 版本存在一个变量覆盖
漏洞。该
漏洞文件位于include\dialog\select_soft_post.php, 其变量$cfg_basedir没有正确初始化,导致攻击者可以饶过身份认证和系统变量来初始化文件,从而可以上传 ...
【漏洞公告】CVE-2014-3883:Webmin Usermin远程命令注入漏洞 - 安全公告和技术
漏洞描述Webmin是Unix系统管理Web接口,通过任一浏览器都可设置用户账户、Apache、DNS、文件共享及其他。Webmin 1.600之前版本存在远程命令注入
漏洞,攻击者可利用此
漏洞在受影响应用上下文中执行任意OS命令。
漏洞危害攻击者可 ...
【漏洞公告】Dedecms变量覆盖漏洞 - 安全公告和技术
漏洞描述Dedecms低版本存在一个变量覆盖
漏洞,
漏洞文件位于plus\myta_js.php。攻击者可以提交变量,覆盖数据库连接配置的全局变量,从而使被攻击的网站反向连接攻击者指定的数据库,读取指定的内容,并在被攻击的网站中直接写入WebShell。
漏洞危害恶意黑客可以通过网络公开的利用工具,直接上传网站后门,入侵网站。修复方案通过官方途径,将DedeCMS升级至最新版本。 ...
【漏洞公告】CVE-2014-4877:Wget FTP软链接攻击漏洞 - 安全公告和技术
漏洞描述wget被发现存在CVE编号为CVE-2014-4877的安全
漏洞。当wget在用于递归下载FTP站点时,攻击者可通过构造恶意的符号链接文件触发该
漏洞,从而在wget用户的系统中创建任意文件、目录或符号链接并设置访问权限。
漏洞修复通过官方途径,将wget升级到1.16及以上版本。 ...
【漏洞公告】ImageMagick 和 GraphicsMagick popen 函数远程代码执行漏洞 - 安全公告和技术
漏洞描述ImageMagick 和 GraphicsMagick 是广泛流行的图像处理软件。ImageMagick 被披露存在远程代码执行
漏洞,同时受影响的软件还包括 GraphicsMagick。此
漏洞允许攻击者通过上传恶意构造的图像文件,在目标 ...
【漏洞公告】Struts s2-037 远程命令执行漏洞 - 安全公告和技术
漏洞描述Struts2 在使用 REST 插件的情况下,攻击者可构造恶意代码,远程执行任意命令。影响范围Struts 2.3.20 - 2.3.28.1修复方案使用云盾Web应用防火墙拦截此
漏洞的攻击代码。通过官方途径,将 Struts 版本升级到 2.3.29 或 2.5 或更高版本。 ...
【安全漏洞公告】Intel处理器Meltdown和Spectre安全漏洞公告 - 安全公告和技术
北京时间2018年01月03日,Intel处理器芯片被爆出存严重安全
漏洞,该
漏洞事件源于芯片硬件层面的设计BUG,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题。
漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证 ...
【漏洞公告】“Phoenix Talon” Linux 内核漏洞 - 安全公告和技术
近期,Linux内核曝出名为“Phoenix Talon”的一系列远程执行
漏洞,其中一个
漏洞为严重(Critical)级别,另外三个为高危(High)。这四个
漏洞的影响范围包括所有Linux kernel 2.5.69 ...
【漏洞公告】NTP DOS多处漏洞 - 安全公告和技术
2016年11月21日,NTF的Network Time Protocol (NTP)项目发布了ntp-4.2.8p9版本。此次更新修复了10个
漏洞,其中1个高危,2个中危,2个中低危,5个低危;其中部分
漏洞可以造成远程拒绝服务。
漏洞详情见下文 ...
- 产品推荐
- 这些文档可能帮助您