【漏洞公告】92game.net 网站管理系统弱口令漏洞 - 阿里云安全产品和技术

漏洞描述92game.net 是一款网站 管理系统,用户安装后若未及时更改默认账号密码,容易被外部黑客所入侵。修复方案修改系统默认的账号密码。 ...

【漏洞公告】Hadoop YARN 资源管理系统 REST API未授权访问 - 阿里云安全产品和技术

MaxCompute(8年以上“零”安全 漏洞)、或 上的E-MAPREDUCE服务安全建议:态势感知检测,安全管家处理安全产品建议:目前态势感知产品已支持检测针对此 漏洞攻击,建议用户可以购买态势感知,开启检测安全服务建议:通过安全管家服务,在 阿里 安全专家的指导下进行安全加固及优化工作,避免系统受到 漏洞影响 ...

管理后台弱口令漏洞 - 阿里云安全产品和技术

漏洞描述 管理后台存在弱口令,可导致攻击者直接访问网站后台,并进一步入侵网站。修复方案在 管理页面修改访问密码,建议使用 10 位以上数字 + 字母 + 特殊符号的强密码。注意:在修改前请做好备份,或为 ECS 建立硬盘快照。 ...
推荐

阿里云试用中心,为您提供0门槛上云实践机会!

0元试用32+款产品,最高免费12个月!拨打95187-1,咨询专业上云建议!
广告

阿里云漏洞扫描的扫描IP有哪些? - 漏洞扫描

阿里 漏洞扫描服务进行 漏洞扫描时,会通过公网模拟 ...

漏洞扫描系统支持扫描非阿里云资产吗? - 漏洞扫描

支持。只要是公网可以访问的IP或域名, 漏洞扫描系统 ...

【漏洞公告】CVE-2016-5195:“脏牛(Dirty Cow)”漏洞-Linux 内核本地提权漏洞 通告及修复 - 阿里云安全产品和技术

20:06:06 EST 2012 x86_64 x86_64 x86_64 GNU/Linux上述内核版本2.6.18-308.el5不受 漏洞影响。 阿里 安全团队在第一时间针对 ECS 提供的 Linux 操作系统镜像进行测试,详细的受影响范围见下 ...

【漏洞公告】CVE-2017-2824:Zabbix远程代码执行漏洞和数据库写入高危漏洞 - 阿里云安全产品和技术

近期,开源网络监控软件zabbix被披露存在两个高危 漏洞。通过这两个高危 漏洞,攻击者可以直接远程代码执行并向数据库写入任何数据,带来数据泄露风险。 漏洞详情见下文。 漏洞编号CVE-2017-2824 漏洞名称Zabbix Server ...

使用阿里云CLI管理阿里云资源 - 云命令行

命令行(Cloud Shell)中预装了 阿里 CLI, 阿里 CLI是基于 阿里 开放 API 建立的 管理工具。您可以通过 阿里 CLI 管理 阿里 资源。 阿里云云产品的API分为RPC和RESTful两种类型 ...

【漏洞公告】CVE-2017-12635/12636:Apache CouchDB 远程命令执行漏洞 - 阿里云安全产品和技术

阿里 威胁情报监控开源数据库Apache CouchDB于2017年11月7日发布新版本2.1.11.7.0/1.7.1,修复了两个远程命令执行高危 漏洞漏洞标号为CVE-2017-12635/12636。 漏洞详情见下文。 漏洞编号CVE-2017 ...

【漏洞公告】CVE-2017-8464 :Microsoft Windows LNK 远程代码执行漏洞 - 阿里云安全产品和技术

管理器或解析.LNK文件的任何其他应用程序中打开此驱动器(或远程共享)时,恶意二进制程序将在目标系统上执行攻击者选择的代码,成功利用此 漏洞的攻击者可以获得与本地用户相同的用户权限。.LNK是Windows系统内应用程序快捷方式文件的文件类型后缀名。 漏洞 ...

【漏洞公告】CVE-2017-10271:WebLogic Server WLS组件远程命令执行漏洞 - 阿里云安全产品和技术

2017年12月18日, 阿里 安全监测到WebLogic POC入侵 服务器进行挖矿的安全事件,记录见下图。经过紧急介入分析, 阿里 安全团队已确认黑客正在利用 WebLogic 反序列化 漏洞(CVE-2017-3248)和 WebLogic WLS ...

【漏洞公告】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞 - 阿里云安全产品和技术

服务器上JSP文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件。通过上传的JSP文件,攻击者可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,带来高安全风险。 阿里 提示您关注并尽快自查。 漏洞详情见下文。 漏洞编号 ...

【漏洞公告】WordPress存储型XSS漏洞 - 阿里云安全产品和技术

被更改,甚至被完全控制,安全风险为高危。 阿里 安全建议站长们关注,并尽快开展自查工作,及时更新到最新版WordPress。 漏洞详情见下文。 漏洞编号暂无 漏洞名称WordPress储存型XSS 漏洞官方评级高危 漏洞描述该 漏洞影响 ...

【漏洞公告】CVE-2017-7269:IIS远程代码执行漏洞 - 阿里云安全产品和技术

.0,且HTTP返回方法中有PROPFIND方法,则说明存在该 漏洞漏洞修复建议(或缓解措施)由于微软已不再对Windows Server 2003提供支持,建议您禁用webDAV功能。 阿里云云盾WAF支持该 漏洞防护,您可以选用WAF防御该 漏洞 ...

【漏洞公告】Wget缓冲区溢出漏洞 - 阿里云安全产品和技术

版本均受此 漏洞影响 漏洞检测:开发或运维人员使用wget -V命令自查是否使用了受影响版本范围内的Wget。 漏洞修复建议(或缓解措施):目前 漏洞细节和测试代码已经公开,各大操作系统发行厂商均已经发布补丁,为了防止发生安全事件, 阿里 安全建议您升级 ...

【漏洞公告】CVE-2014-6271:Linux Bash远程可执行漏洞 - 阿里云安全产品和技术

导致攻击者远程执行系统命令,从而利用系统命令反弹shell之后进行内网渗透、挂马、篡改主页、脱库等行为,存在高安全风险。 阿里 提示您关注并尽快自查和修复。 漏洞详情见下文。 漏洞编号:CVE-2014-6271 漏洞名称:Linux Bash远程可 ...

【漏洞公告】CVE-2017-0290:Microsoft恶意软件防护引擎远程执行代码漏洞 - 阿里云安全产品和技术

远程执行代码。成功利用此 漏洞的攻击者可在LocalSystem账户下执行任意代码,并控制系统权限。 漏洞利用条件和方式远程利用 漏洞影响范围 阿里 官方提供的Windows Server 2008和2012操作系统默认不安装恶意软件保护软件,不受该 漏洞 ...

【漏洞公告】 CVE-2018-2628:WebLogic T3协议反序列化漏洞可导致远程代码执行 - 阿里云安全产品和技术

。Oracle官方及时发布了最新补丁,修复了该 漏洞阿里 安全团队建议您尽快自查并升级。 漏洞详情见下文。 漏洞编号CVE-2018-2628 漏洞名称WebLogic T3协议反序列化 漏洞官方评级高危 漏洞描述Oracle WebLogic Server ...

【漏洞公告】CVE-2017-6923/CVE-2017-6924/CVE-2017-6925:Dural多个高危漏洞 - 阿里云安全产品和技术

之前的版本不受影响版本:Drupal 7 core 漏洞检测检查是否使用了受影响版本。 漏洞修复建议(或缓解措施) 阿里 安全团队建议使用了Drupal 8的用户关注并及时更新到官方最新版。情报来源HackerNews:http://hackernews.cc/archives/13634 ...

【漏洞公告】Fastjson远程代码执行漏洞 - 阿里云安全产品和技术

.28/开启 盾WAF防护。如果您无法及时升级Fastjson,您可以选用 阿里云云盾WAF自动防护。情报来源https://github.com/alibaba/fastjson/wiki/security_update_20170315 ...

【漏洞公告】Apache httpd 多个安全漏洞 - 阿里云安全产品和技术

2017年6月19日,Apache httpd被曝出多个安全 漏洞漏洞编号为:CVE-2017-3167,CVE-2017-3169,CVE-2017-7659,CVE-2017-7668,CVE-2017-7679。这些 漏洞的安全风险较高, 阿里 安全 ...

【漏洞公告】Git安全漏洞导致任意代码执行 - 阿里云安全产品和技术

漏洞利用条件和方式任意代码执行受影响版本Git 小于 2.13.72.14.x 小于 2.14.42.15.x 小于 2.15.22.16.x 小于 2.16.42.17.x 小于 2.17.1 漏洞修复建议(或缓解措施) 阿里 安全团队建议用户尽快 ...

【漏洞公告】CVE-2017-0882:GitLab信息泄露高危漏洞 - 阿里云安全产品和技术

GitLab是一个使用Ruby on Rails开发的开源应用程序。作为一个Git仓库 管理平台,GitLab支持Web界面访问公开的或者私有的项目,在企业中得到广泛的应用。2017年3月20日,GitLab官方发布了8.17.4、8.16.8和8.15 ...

【漏洞公告】CVE-2017-6920:Drupal远程命令执行漏洞 - 阿里云安全产品和技术

。Drupal是使用PHP语言编写的开源内容 管理框架(CMF),它由内容 管理系统(CMS)和PHP开发框架(Framework)共同构成。 漏洞详情见下文。 漏洞编号CVE-2017-6920 漏洞名称Drupal远程代码执行 漏洞官方评级高危 漏洞描述 ...

【漏洞公告】Wordpress <= 4.9.6 任意文件删除漏洞 - 阿里云安全产品和技术

WordPress是如今使用最为广泛的一套内容 管理系统。根据 w3tech 统计,全世界大概有30%的网站运行着WordPress程序。6月26日,RIPS团队公开了一个Wordpress的任意文件删除 漏洞(需要登录),目前该 漏洞仍然未修复(2018年 ...

【漏洞公告】CVE-2016-10229:Linux内核远程代码执行漏洞 - 阿里云安全产品和技术

漏洞修复建议(或缓解措施) 使用 阿里云云安全中心检测并升级到最新版本的内核,升级方法请参见脏牛 漏洞升级方案 ...

【漏洞公告】WordPress WPDB SQL注入漏洞 - 阿里云安全产品和技术

2017年10月30日,WordPress官方发布4.8.3版本修复了一个重要的SQL注入 漏洞。该 漏洞由于WordPress中$wpdb编码不规范,可以接收和执行不安全的查询,导致潜在的SQL注入,存在高安全风险。 漏洞详情见下文。 漏洞编号暂无 ...

【漏洞公告】CVE-2014-3883:Webmin Usermin远程命令注入漏洞 - 阿里云安全产品和技术

漏洞描述Webmin是Unix系统 管理Web接口,通过任一浏览器都可设置用户账户、Apache、DNS、文件共享及其他。Webmin 1.600之前版本存在远程命令注入 漏洞,攻击者可利用此 漏洞在受影响应用上下文中执行任意OS命令。 漏洞危害攻击者可 ...

【漏洞公告】ImageMagick 和 GraphicsMagick popen 函数远程代码执行漏洞 - 阿里云安全产品和技术

服务器执行任意代码。受影响范围ImageMagick 7.0.1-6GraphicsMagick 1.3.23修复方案使用 盾 Web 应用防火墙 拦截此 漏洞的攻击代码。从官方下载并安装最新版本的软件。查看 ImageMagick 官网查看 GraphicsMagick 官网注意:在修复前,请创建服务器快照,以免修复失败带来损失。 ...

【漏洞公告】CVE-2017-5941:Node.js反序列化远程代码执行漏洞 - 阿里云安全产品和技术

下运行效果更加优秀。Node.js存在反序列化远程代码执行 漏洞。Node.js的node-serialize库中存在一个 漏洞,该 漏洞通过传输JavaScript IIFE,利用恶意代码(未信任数据)达到反序列化远程任意代码执行的效果。 漏洞详情见下文 ...

【漏洞公告】Oracle多个Java漏洞更新-2017年7月 - 阿里云安全产品和技术

2017年7月18日,Oracle官方发布了2017年7月份的安全公告,安全公告中报告了多个 漏洞。成功利用这些 漏洞时,远程用户可以访问和修改目标系统上的数据,在目标系统上获得提升的权限,导致目标系统上的拒绝服务等。本次公告涉及到的安全 漏洞较多,安全风险较 ...

【漏洞公告】CVE-2017-3305:MySQL中间人攻击Riddle漏洞 - 阿里云安全产品和技术

2017年4月15日,DBMS Oracle MySQL被披露存在Riddle 漏洞,攻击者可以利用该 漏洞和中间人身份窃取用户名和密码。 漏洞详情见下文。 漏洞编号CVE-2017-3305 漏洞名称Riddle中间人 漏洞是一个在Oracle ...

【漏洞公告】CVE-2017-5645:Apache Log4j反序列化漏洞 - 阿里云安全产品和技术

Apache Log4j 被披露存在一个反序列化 漏洞(CVE-2017-5645)。攻击者可以通过发送一个特别制作的2进制payload,在组件将字节反序列化为对象时,触发并执行构造的payload代码,带来数据泄露的风险。 漏洞详情见下文。 漏洞编号 ...

【漏洞公告】CVE-2017-15718:Apache Hadoop YARN NodeManager信息泄露漏洞 - 阿里云安全产品和技术

Apache Hadoop YARN NodeManager 存在CVE编号为CVE-2017-15718的信息泄露 漏洞。攻击者可能利用该 漏洞获得应用密码,受影响的Apache Hadoop版本有 2.7.3及2.7.4。该 漏洞是由于CVE-2016 ...

【漏洞公告】CVE-2017-1000253:Linux PIE/stack 内存破坏漏洞 - 阿里云安全产品和技术

2017年9月26日,OSS-SEC邮件组中发布了Linux内核相关的 漏洞信息。该 漏洞编号为 CVE-2017-1000253,它可以被利用来获取本地权限提升,存在安全风险。受影响的Linux发行版已发布了针对该 漏洞的更新补丁。 漏洞详情见下文。 漏洞 ...

【漏洞公告】Struts s2-037 远程命令执行漏洞 - 阿里云安全产品和技术

漏洞描述Struts2 在使用 REST 插件的情况下,攻击者可构造恶意代码,远程执行任意命令。影响范围Struts 2.3.20 - 2.3.28.1修复方案使用 盾Web应用防火墙拦截此 漏洞的攻击代码。通过官方途径,将 Struts 版本升级到 2.3.29 或 2.5 或更高版本。 ...

【漏洞公告】CVE-2017-0004:微软LSASS远程攻击漏洞 - 阿里云安全产品和技术

北京时间1月11日凌晨,微软发布2017年第一波补丁,修复了非常罕见的LSASS远程拒绝服务 漏洞(CVE-2017-0004)。黑客利用该 漏洞发送恶意数据包,可以让受攻击的目标系统关键进程崩溃,出现类似“冲击波”攻击的倒计时60秒 ...

【漏洞公告】Dedecms 变量覆盖漏洞 - 阿里云安全产品和技术

漏洞描述Dedecms 5.5 版本存在一个变量覆盖 漏洞。该 漏洞文件位于include\dialog\select_soft_post.php, 其变量$cfg_basedir没有正确初始化,导致攻击者可以饶过身份认证和系统变量来初始化文件,从而可以上传 ...

【漏洞公告】Dedecms变量覆盖漏洞 - 阿里云安全产品和技术

漏洞描述Dedecms低版本存在一个变量覆盖 漏洞漏洞文件位于plus\myta_js.php。攻击者可以提交变量,覆盖数据库连接配置的全局变量,从而使被攻击的网站反向连接攻击者指定的数据库,读取指定的内容,并在被攻击的网站中直接写入WebShell。 漏洞危害恶意黑客可以通过网络公开的利用工具,直接上传网站后门,入侵网站。修复方案通过官方途径,将DedeCMS升级至最新版本。 ...

【漏洞公告】CVE-2014-4877:Wget FTP软链接攻击漏洞 - 阿里云安全产品和技术

漏洞描述wget被发现存在CVE编号为CVE-2014-4877的安全 漏洞。当wget在用于递归下载FTP站点时,攻击者可通过构造恶意的符号链接文件触发该 漏洞,从而在wget用户的系统中创建任意文件、目录或符号链接并设置访问权限。 漏洞修复通过官方途径,将wget升级到1.16及以上版本。 ...

阿里云云安全中心评测-----阿里云安全中心有需要购买吗?

阿里云云安全中心是ECS云服务器的安全护卫,云安全中心提供漏洞管理、病毒主动查杀、安全告警、基线检查、资产统一管理等功能,云安全中心分为高级版和企业版,阿里云安全中心有必要购买吗?护云盾分享云安全中心详解: 云安全中心 什么是云安全中心?云安全中心和态势感知有什么区别?阿里云云安全中心原态势感知的...

Kubernetes重大漏洞?阿里云已第一时间全面修复

近日,Kubernetes社区发现安全漏洞 CVE-2018-1002105,阿里云容器服务已在第一时间完成全面修复,敬请广大用户登录阿里云控制台升级Kubernetes版本。 目前Kubernetes开发团队已经发布V1.10.11、V1.11.5修复补丁,阿里云容器服务也已在第一时间完成漏洞全...

企管速看-信息安全-阿里云漏洞扫描

一、 漏洞扫描是什么漏洞扫描,顾名思义就是对漏洞进行扫描,那什么是漏洞呢?安全漏洞是指会导致违反系统安全策略或危及系统安全事件发生缺陷,漏洞包含软件层漏洞和硬件层面漏洞。硬件层面漏洞,例如CPU漏洞,该漏洞允许窃取正在计算机上处理的数据。 软件层面的漏洞,包括系统漏洞、应用程序漏洞等等。而...

预警| WebLogic Server曝高风险远程命令执行0-day漏洞,阿里云WAF支持免费应急服务

近日,阿里云安全团队监测到,由国家信息安全漏洞共享平台(CNVD)收录的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)被攻击者利用,在未授权的情况下可远程执行命令。该漏洞曾经因为使用HTTP协议,而非t3协议,被黑客利用进行大规模...

预警| Confluence 高危漏洞被大规模利用,阿里云WAF接入即可防护,支持免费应急服务

2019年4月4日,阿里云安全应急响应中心监测到Confluence 官方发布安全更新指出,Widget Connector 存在服务端模板注入漏洞,攻击者能利用此漏洞实现目录穿越遍历甚至远程命令执行。4月10日远程命令执行PoC被公开,阿里云监测到此漏洞被大规模利用,4月12日凌晨攻击流量达到第...

云盾推出安骑士云助手云服务器安全软件

阿里云云盾推出国内首个能自动打补丁的云服务器安全软件——安骑士云助手。该软件能够快速发现并修复网站、服务器系统已知漏洞,防范黑客入侵和攻击,有效提升安全防御能力,减轻网站运维工作压力。 阿里云安全运营团队发现,网站遭受漏洞攻击很多情况下是因为网站有大量已知漏洞未修复。虽然IIS、OpenSSL等高...

centos系统漏洞修复简易方法

在阿里云主机的管理后台上,经常看到漏洞警告。 对于linux系统的漏洞,还是要重视的,未雨绸缪啊。 但阿里云后台的修复功能需要付费,其实自己操作修复特别简单,只需几个命令即可。 Centos系统的漏洞修复其实很简单,用yum安装包管理工具,只需两个步骤: 1.清理缓存信息yum clean all...

阿里云双11访谈之云安全

双11第一波,红包领不停,点击看详情:https://promotion.aliyun.com/ntms/act/pre20171111.html 摘要:在阿里云双11访谈云安全专场中,阿里云安全资深产品专家建跃、阿里云安全高防产品经理黄犊以及阿里云安全安骑士产品专家文宣为大家介绍了阿里云安全团...

阿里云云安全中心入选Gartner CWPP全球市场指南 为客户提供一体化安全解决方案

近日,国际权威咨询机构Gartner发布了《云工作负载保护平台市场指南》Market Guide for Cloud Workload Protection Platforms(CWPP),旨在为企业用户推荐全球具有代表性的CWPP服务提供商。相对于其他厂商的安全产品因只具备某一领域安全功能而入围...

阿里云云安全中心入选Gartner CWPP全球市场指南 为客户提供一体化安全解决方案

近日,国际权威咨询机构Gartner发布了《云工作负载保护平台市场指南》Market Guide for Cloud Workload Protection Platforms(CWPP),旨在为企业用户推荐全球具有代表性的CWPP服务提供商。相对于其他厂商的安全产品因只具备某一领域安全功能而入围...
< 1 2 3 4 ... 4392 >
共有4392页 跳转至: GO

新品推荐

你可能感兴趣

热门推荐

2021阿里云采购季 采购季云服务器会场 采购季数据库会场 采购季存储会场 采购季云网络会场 采购季云通信会场 采购季中小企业应用会场 采购季大数据会场 采购季人工智能会场 CDN与视频云分会场 采购季物联网分会场 采购季安全分会场