蚂蚁金服安全应急响应中心上线 用户可提交漏洞

蚂蚁金服安全应急 响应中心(AFSRC)已于今日上线。该平台旨在集合安全领域的专家、白帽子、社会团体及个人共同发现潜在的 漏洞信息,并依此建立 漏洞统计分析中心,预知并自查风险,及时修复 漏洞,帮助提升自身产品及业务的安全性,同时为用户营造一个更安全的互联网生态 ...
来自: 开发者社区 > 博客 作者: 行者武松 浏览:163 回复:0

绿盟科技已经启动Spring Boot框架漏洞的应急响应

机构公开。2016年7月11日,绿盟科技获取相关细节。2016年7月12日,绿盟科技针对此 漏洞启动中级应急 响应。预计会在2016年7月14日提供完整的技术分析,产品升级和防护方案。什么是spring?Spring是一个开源框架,它由& ...
来自: 开发者社区 > 博客 作者: 晚来风急 浏览:159 回复:0
推荐

阿里云试用中心,为您提供0门槛上云实践机会!

0元试用32+款产品,最高免费12个月!拨打95187-1,咨询专业上云建议!
广告

逻辑漏洞之修改响应包绕过登录校验

null 逻辑 漏洞是由于程序逻辑不严或逻辑太复杂,导致被攻击者利用,从而通过篡改相关数据来达到自己的目的,如绕过登录校验等!实践操作简单原理介绍  (这里只对本次实践原理的一个简单介绍)由于对登录的账号及口令校验 ...
来自: 开发者社区 > 博客 作者: 科技小能手 浏览:4 回复:0

云盾WAF实现虚拟补丁——记一起Web漏洞应急响应

本文从一起 漏洞应急 响应案例介绍了:如何在极短的时间内通过阿里云云盾产品Web应用防火墙WAF制作虚拟补丁,临时缓解Web 漏洞的影响。来自真实案例的虚拟总结。见招拆招,而且还得以最快的速度完成,云盾WAF扛得起!#忧伤的周六早晨&ldquo ...
来自: 开发者社区 > 博客 作者: 傅奎 浏览:2866 回复:1

仅2%企业可快速响应安全漏洞

互联网金融在中国快速崛起,然而其中信息安全问题不容忽视,据调查,全国仅2%的企业能在2小时之内快速 响应安全 漏洞。”近日,深圳市互联网金融协会请来安全专家为互金企业讲解如何保障信息安全。“据第三方专业机构推出的2017年 ...
来自: 开发者社区 > 博客 作者: boxti 浏览:77 回复:0

【漏洞公告】CVE-2017-2824:Zabbix远程代码执行漏洞和数据库写入高危漏洞 - 阿里云安全产品和技术

近期,开源网络监控软件zabbix被披露存在两个高危 漏洞。通过这两个高危 漏洞,攻击者可以直接远程代码执行并向数据库写入任何数据,带来数据泄露风险。 漏洞详情见下文。 漏洞编号CVE-2017-2824 漏洞名称Zabbix Server ...

【漏洞公告】CVE-2016-5195:“脏牛(Dirty Cow)”漏洞-Linux 内核本地提权漏洞 通告及修复 - 阿里云安全产品和技术

漏洞编号CVE-2016-5195 漏洞名称脏牛(Dirty COW)官方定级高危 漏洞危害黑客通过远程入侵获取低权限用户后,利用该 漏洞在全版本Linux系统服务器上实现本地提权,从而获取到服务器root权限。 漏洞利用条件黑客通过远程入侵获取低权限 ...

【漏洞公告】Spring 框架及组件多个安全漏洞 - 阿里云安全产品和技术

2018年5月8日,阿里云云盾应急 响应中心监测到Spring官方发布3个严重,2个高危 漏洞漏洞涉及Spring Messaging组件,Spring Security框架,Spring Data 框架等多个模块,攻击者可利用该 漏洞实施远程代码执行攻击 ...

【漏洞公告】procps-ng 本地提权漏洞 - 阿里云安全产品和技术

2018年5月25日,阿里云云盾应急 响应中心监测Qualys安全实验室审计procps-ng发现多个 漏洞。procps-ng 是一系列命令行工具(包含top,ps,w等)用于浏览procfs,是内核为了披露进程表中的信息而生成的伪文件系统。其中CVE ...

【漏洞预警】Windows RDP 远程代码执行高危漏洞(CVE-2019-0708)

2019年5月15日,阿里云云盾应急 响应中心监测到微软官方发布紧急安全补丁,修复了一个Windows远程桌面服务的远程代码执行 漏洞(CVE-2019-0708),利用此 漏洞可能可以直接获取Windows服务器权限。 漏洞描述微软官方紧急发布安全补丁 ...
来自: 帮助

【漏洞公告】NTP DOS多处漏洞 - 阿里云安全产品和技术

2016年11月21日,NTF的Network Time Protocol (NTP)项目发布了ntp-4.2.8p9版本。此次更新修复了10个 漏洞,其中1个高危,2个中危,2个中低危,5个低危;其中部分 漏洞可以造成远程拒绝服务。 漏洞详情见下文 ...

【漏洞公告】Apache httpd 多个安全漏洞 - 阿里云安全产品和技术

_token()搜索输入字符串之外的内容。通过构造的请求头序列,攻击者可造成段故障,或强制ap_find_token()返回错误值。CVE-2017-7679:恶意攻击者发送恶意Content-Type 响应头时,mod_mime会造成缓冲区越界读。 漏洞利用条件和 ...

【漏洞公告】CVE-2018-1038:Windows内核提权漏洞 - 阿里云安全产品和技术

漏洞的问题。阿里云云平台自身不受此 漏洞影响,阿里云云盾应急 响应中心建议您尽快开展自查工作并根据厂商更新情况及时更新补丁,以避免攻击者利用该 漏洞发动提权攻击。 漏洞详情见下文。 漏洞编号CVE-2018-1038 漏洞名称Windows内核提权 漏洞 ...

【安全漏洞通告】EDAS客户机中fastjson安全漏洞通告及解决方案 - 企业级分布式应用服务 EDAS

近日,阿里云应急 响应中心监测到fastjson爆发新的反序列化远程代码执行 漏洞,黑客利用 漏洞,可绕过autoType限制,直接远程执行 ...

【漏洞公告】CVE-2018-7602:Drupal内核远程代码执行漏洞 - 阿里云安全产品和技术

2018年4月26日,阿里云云盾应急 响应中心监测到Drupal官方发布新补丁和安全公告,宣称Drupal 7,8等多个子版本存在远程代码执行 漏洞,攻击者可以利用Drupal网站 漏洞,具备登录且有删除权限后触发执行恶意代码,导致网站被完全控制。 漏洞详情见 ...

【漏洞公告】微信支付JAVA版本SDK存在XXE漏洞 - 阿里云安全产品和技术

2018年7月3日,阿里云云盾应急 响应中心监测到seclists.org公开微信支付SDK存在XXE 漏洞,该 漏洞为微信在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款结果,该接口接受XML格式的数据,攻击者可以构造恶意的回调 ...

【漏洞公告】Git安全漏洞导致任意代码执行 - 阿里云安全产品和技术

2018年5月30日,阿里云云盾应急 响应中心监测Git开发团队发布安全更新解决远程代码执行 漏洞(CVE-2018-11235)。此 漏洞为攻击者通过建立一个恶意的Git仓库包含一个精心定制的Git子模块,同时攻击者需要诱骗受害者clone恶意存储库,从而在 ...

【漏洞公告】CVE-2017-0882:GitLab信息泄露高危漏洞 - 阿里云安全产品和技术

.8版本(社区版和企业版),修复了多个高危 漏洞。本次更新包含一个针对关键信息泄露 漏洞的更新补丁,针对SSRF攻击的防护,以及针对可导致Atom源中私有邮件地址泄露 漏洞的补丁,ElasticSearch中私有库数据泄露的补丁等,攻击者可以通过这些 漏洞来获取 ...

【漏洞公告】CVE-2017-5638:基于 Jakarta plugin插件的Struts远程代码执行漏洞(S2-045) - 阿里云安全产品和技术

2017年3月6日,Apache Struts 2被曝存在远程命令执行 漏洞漏洞编号为S2-045,CVE编号为CVE-2017-5638。在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。 漏洞详情见下文 ...

【漏洞公告】CVE-2017-8620:Windows Search 远程代码执行漏洞 - 阿里云安全产品和技术

2017年8月8日,微软官方在例行补丁日发布编号为CVE-2017-8620的 漏洞公告。攻击者利用该 漏洞在目标系统执行任意代码,发动拒绝服务攻击,安全风险为高危。 漏洞详情见下文。 漏洞编号: CVE-2017-8620 漏洞名称: Windows ...

【漏洞公告】CVE-2017-2608:Jenkins远程代码执行漏洞 - 阿里云安全产品和技术

2017年2月1日,Jenkins官方发布了新一轮的安全 漏洞公告,该公告包括18个不同等级的安全 漏洞。其中,1个高危 漏洞可以导致使用Jenkins用户遭受远程代码执行攻击,存在严重的安全分风险,目前官方已经发布了修复该 漏洞的产品版本。 漏洞详情见下文 ...

【漏洞公告】CVE-2017-1000367:Sudo本地提权漏洞 - 阿里云安全产品和技术

2017年5月30日,国外安全研究人员发现在Linux环境下,可以通过sudo实现本地提权的 漏洞。该 漏洞编号为CVE-2017-1000367,它几乎影响所有Linux系统。阿里云云盾提醒您关注该 漏洞并及时更新补丁,避免攻击者利用该 漏洞发动提权攻击 ...

【漏洞公告】FineCMS前台tx参数存在代码执行漏洞 - 阿里云安全产品和技术

2017年7月31日,CNVD发布关于Finecms的安全 漏洞通告。FineCMS 5.0.7版本前台tx参数存在代码执行 漏洞。远程攻击者无需登录即可执行任意代码,从而获取服务器权限,安全风险较高。 漏洞详情见下文。 漏洞编号CNVD-2017 ...

【漏洞公告】CVE-2017-11610:Supervisord 远程命令执行漏洞 - 阿里云安全产品和技术

Supervisord是一款用Python语言开发的管理后台应用(服务)的工具,方便运维人员使用图形化界面进行管理。近期,Supervisord曝出了一个需认证的远程命令执行 漏洞(CVE-2017-11610)。通过POST请求向Supervisord ...

【漏洞公告】CVE-2017-9798:“Optionsbleed”-Apache HTTP OPTIONS方法内存泄露漏洞 - 阿里云安全产品和技术

2017年9月18日,Apache被爆存在高安全风险 漏洞漏洞CVE编号为CVE-2017-9798。该 漏洞发现于Apache HTTP软件2.2.34/2.4.27版本,由Limit指令的函数ap_limit_section触发。当网站管理员尝试使用 ...

【漏洞公告】CVE-2017-9791:Struts(S2-048)远程命令执行漏洞 - 阿里云安全产品和技术

2017年7月7日,Apache Struts发布最新的安全公告,公布了CVE编号为CVE-2017-9791的 漏洞。该 漏洞存在Struts2和Struts1一个Showcase插件Action Message类中,攻击者可构建不可信的输入实现远程命令 ...

【漏洞公告】OpenSSL “心脏滴血”漏洞 - 阿里云安全产品和技术

2014年4月7日,OpenSSL发布安全公告,在OpenSSL1.0.1和OpenSSL 1.0.2 Beta1中存在严重 漏洞。由于未能正确检测用户输入参数的长度,攻击者可以利用该 漏洞,远程读取存在 漏洞版本的OpenSSL服务器内存中64K的数据,获取 ...

【漏洞公告】PHPCMS V9.6.1无条件任意文件读取漏洞 - 阿里云安全产品和技术

近日,知名网站内容管理系统PHPCMS v9.6.1被曝存在无条件任意文件读取 漏洞。黑客可以利用该 漏洞读取数据库配置文件并获取authkey,进行SQL注入,获取用户敏感信息等。 漏洞详情见下文。 漏洞编号暂无 漏洞名称PHPCMS v9.6.1 ...

【漏洞公告】CVE-2017-1000353:Jenkins Java反序列化远程代码执行漏洞 - 阿里云安全产品和技术

近日,Jenkins 官方发布安全公告,介绍Jenkins版本中存在的Java反序列化高危 漏洞。该 漏洞可以导致远程代码执行。 漏洞详情见下文。 漏洞编号CVE-2017-1000353 漏洞名称Jenkins Java反序列化远程代码执行 漏洞官方 ...

【漏洞公告】CVE-2017-8046:Spring Data REST远程代码执行漏洞 - 阿里云安全产品和技术

2017年9月21日,流行的Java框架spring被发现一个高危 漏洞漏洞CVE编号为CVE-2017-8046。黑客可以利用该 漏洞远程执行命令,使用了spring框架的业务存在高安全风险。 漏洞详情见下文。 漏洞编号CVE-2017-8046 ...

【漏洞公告】CVE-2018-5711:PHP GD库拒绝服务漏洞 - 阿里云安全产品和技术

2018年01月22日,某安全研究人员发现PHP环境存在拒绝服务 漏洞。通过精心构造的GIF图片PoC可以触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务。目前PoC已公开。由于使用PHP语言开发的网站使用GD库实现图片上传功能,建议用户关注该 ...

【安全漏洞公告】CVE-2017-16995: Ubuntu 16.04 内核本地提权漏洞 - 阿里云安全产品和技术

2018年3月16日,国外安全研究人员公开Ubuntu存在高危本地提权 漏洞,恶意攻击者可以利用此 漏洞来进行本地提权操作,目前相关攻击代码已经发布。阿里云云盾提醒您关注该 漏洞并及时更新补丁,云平台自身不受影响。用户可根据自身情况评估风险后,针对受影响系统 ...

【漏洞公告】Git、SVN、Mercurial版本控制系统存在远程命令执行漏洞 - 阿里云安全产品和技术

近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行 漏洞。恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发 漏洞,执行恶意 ...

【漏洞公告】CVE-2017-3733:OpenSSL Encrypt-Then-Mac renegotiation DDoS漏洞 - 阿里云安全产品和技术

2017年2月16日,OpenSSL官方发布了最新安全公告。该公告介绍OpenSSL开发团队已经修正了一个严重的拒绝服务(DDoS) 漏洞漏洞编号为CVE-2017-3733。该 漏洞是由Red Hat乔·奥顿于1月31日报道,它被描述为 ...

漏洞公告 | Linux sudo权限漏洞(CVE-2021-3156) - 云服务器 ECS

2021年1月26日,Linux sudo堆 漏洞被公开。利用此 漏洞,攻击者可以在默认配置的sudo主机上获取root权限 ...

【漏洞公告】FFmpeg本地文件任意读取漏洞 - 阿里云安全产品和技术

近日,白帽在HackerOne平台上报了FFmpeg 漏洞,该 漏洞利用FFmpeg的HLS播放列表处理方式,可导致本地文件曝光。目前POC已经公开,安全风险为高危。为了确保您的业务正常,防止数据泄露,建议您尽快排查和升级。FFmpeg是一个免费的多媒体 ...

【漏洞公告】Intel处理器芯片Micro Architectural Data Sampling (MDS) 侧信道攻击漏洞 - 阿里云安全产品和技术

美国西海岸时间2019年5月14号早上10点,Intel官方发布安全 漏洞公告,披露名为”Micro Architectural Data Sampling (MDS)”的 漏洞信息,该 漏洞可能通过侧信道攻击的方式,导致未经授权的一些 ...

【漏洞公告】WordPress REST API内容注入/权限提升漏洞 - 阿里云安全产品和技术

。WordPress REST API内容注入/权限提升 漏洞于2017年1月22日被安全公司Sucuri研究员Marc-Alexandre Montpas发现并告知WordPress。WordPress紧急修复该 漏洞,并于2017年1月26日发布安全更新。 漏洞详情 ...

蚂蚁金服安全应急响应中心上线 用户可提交漏洞

蚂蚁金服安全应急响应中心(AFSRC)已于今日上线。该平台旨在集合安全领域的专家、白帽子、社会团体及个人共同发现潜在的漏洞信息,并依此建立漏洞统计分析中心,预知并自查风险,及时修复漏洞,帮助提升自身产品及业务的安全性,同时为用户营造一个更安全的互联网生态圈。 据悉,如用户发现相关的业务漏洞、系统漏...

阿里云被CNVD认定为漏洞处置突出贡献单位

近日,在国家信息安全漏洞共享平台(CNVD)2018年度工作会议上,CNVD秘书处对2017—2018年度优秀成员单位、白帽子以及行业单位进行了表彰,阿里云被认定为漏洞处置突出贡献单位,是唯一一家获得该奖项的云计算服务商。 漏洞攻击事件影响我国基础网络设施和重要信息系统的运行安全,给国家政治、经...

高危漏洞通告 BIND最新漏洞将导致DoS攻击 绿盟科技发布预警通告

上个月,流行DNS软件BIND中的一个严重DoS漏洞(CVE-2016-2776)得到了修补,但是该漏洞已经被广泛利用,用以摧毁系统。绿盟科技发布高危漏洞预警通告,这意味着该漏洞影响范围比较广,危害严重,利用难度较低,7*24小时内部应急跟踪,24小时内完成技术分析、产品升级和防护方案。 该漏洞由...

不要被自己的漏洞打败 解读ISO27001及ISO27002漏洞管理方法

您一定听说或亲身经历过这样的情况。在一个平常的日子,系统正常运行,但突然无缘无故变得很慢或近乎停止运行。用户支持部门开始接到几十个电话询问原因,IT人员奋战数小时使所有系统恢复在线正常运行。令人欣慰地是,该事件未造成数据丢失,只是导致IT工作人员紧张忙碌了数小时。 在处理该事件过程中,IT人员发现...

蚂蚁金服安全应急响应中心上线

1月11日,蚂蚁金服安全应急响应中心(AFSRC)正式上线。网址:security.alipay.com。该平台旨在集合安全领域的专家、白帽子、社会团体及个人共同发现潜在的漏洞信息,并依此建立漏洞统计分析中心,预知并自查风险,及时修复漏洞,帮助提升自身产品及业务的安全性,同时为用户营造一个更安全的...

补天发动 3万多名白帽子找漏洞情报,这次有什么不一样

不久前,补天漏洞响应平台宣布,推出了全新的补天漏洞情报服务,将发动补天平台已注册的 36000 多名白帽子提供漏洞信息,经过安全专家分析研判脱敏处理后,加工成漏洞情报推送给行业客户。 补天掌门人白健在接受雷锋网在内的媒体采访时表示,除了 BAT 级的大厂有钱有人专门建立自己的 SRC 外,他认为,...

电信玩穿越?致命漏洞曝出之前就完成了修复!

       10月28日,补天漏洞响应平台上曝出中国电信某系统存在安全漏洞,可以致使黑客轻松盗取上亿用户信息,包括用户姓名、身份证号码等,并且可以进行销户和换卡操作。 这个消息让已经无数次被信息泄露的用户脆弱的小心脏又经历了一次暴风骤雨般的打击。不过今天下午,中国电信官方微博贴出了一则公告,表...

电站控制器出现远程漏洞 而且没法打补丁

补救方法?停掉功能或者替换设备。 电站使用的一种工业控制系统出现了没法打补丁的漏洞,攻击者可以远程利用它来获取网络的控制权。 漏洞利用代码已经被公布,这也促使美国计算机紧急响应小组 (US Computer Emergency Response Team) 发布警报。 独立研究人员Maxim Ru...

预警|Apache Dubbo漏洞补丁绕过,阿里云上可默认拦截,请尽快修复

2020年6月29日,阿里云应急响应中心监测到 CVE-2020-1948 Apache Dubbo反序列化漏洞补丁存在缺陷,可以绕过原有补丁并执行任意指令。 针对这一情况,阿里云默认防御已启动紧急响应,为阿里云上受影响客户免费提供一个月的虚拟补丁帮助缓解该漏洞的影响,建议利用这个期间尽快完成漏洞...

汽车产业网络空间安全应急响应中心成立

如果你是一名白帽子,而且对汽车安全非常感兴趣,那你也许可以来看看这个SRC部落--- CarSRC 。 近日,上海银基信息安全技术股份有限公司对外宣布成立汽车产业网络空间安全应急响应中心,将重点关注三个方向-----互联网服务网站(包括APP应用程序)安全、车机端安全和车辆制造系统安全。 为了保证...
< 1 2 3 4 ... 709 >
共有709页 跳转至: GO

新品推荐

你可能感兴趣

热门推荐

2021阿里云采购季 采购季云服务器会场 采购季数据库会场 采购季存储会场 采购季云网络会场 采购季云通信会场 采购季中小企业应用会场 采购季大数据会场 采购季人工智能会场 CDN与视频云分会场 采购季物联网分会场 采购季安全分会场