微闻

标签: 漏洞

  • Log4j 2.17 出现新 RCE 漏洞

    Log4j 2.17 可能的新 RCE

    相关对话在 Twitter 上展开,请持续关注。

    ==Update==============
    Log4j 2.17 出现新 RCE 漏洞

    影响范围:2.0-beta7 ~ 2.17.0

    利用条件:
    1.You are loading configuration from a remote server and/or someone can hijack/modify your log4j configuration file;
    2. You are using the JDBC log appender with a dynamic URL address.

    详细信息:CVE-2021-44832

    总结:需要在非默认配置下才能被利用,属实是屑啦,不必惊慌。

  • Apache Log4j2存在严重的远程代码执行漏洞

    Java 日志框架 Apache Log4j2 被发现存在严重的远程代码执行漏洞

    2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0-rc2 版本。

    Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

    漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0-rc2 版本。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

  • Linux内核存在远程接管漏洞

    安全网站披露 Linux 内核漏洞允许远程接管

    卡巴斯基实验室安全新闻服务 Threatpost 网站发布的消息说:

    该漏洞(CVE-2021-43267)存在于允许Linux节点相互发送加密密钥的TIPC消息类型。

    Linux内核的透明进程间通信(TIPC)模块中存在一个关键的堆溢出安全漏洞,可能允许本地利用和远程代码执行,导致系统完全被破坏。

    TIPC是一个点对点协议,由Linux集群内的节点以优化的方式相互通信;它可以实现各种类型的消息,用于不同的目的。根据SentinelOne的SentinelLabs,有关的错误(CVE-2021-43267)特别存在于一种允许节点相互发送加密密钥的消息类型中。当收到时,这些密钥可用于解密来自发送节点的进一步通信。

    Critical Linux Kernel Bug Allows Remote Takeover

    漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-43267

  • 苹果iOS15安全漏洞未被修复

    研究人员披露:苹果对iOS15安全漏洞置若罔闻

    一位安全研究人员在今年 3月10日到5月4日期间向苹果报告了四个 0-day 漏洞,而在接近9月底,其中三个漏洞仍然存在于iOS 15版本 (15.0) 中。

    他只得将这3个漏洞公开,目前 iOS15.0 中仍然存在这些漏洞。

    https://habr.com/en/post/579714/

  • iPhone 存在 WiFi 功能被关闭漏洞

    iPhone 新漏洞曝光

    一位叫做 Carl Schou 的安全工程师发现 iPhone 存在一个漏洞,该漏洞在连接名称含有特殊字符,如“%”,的 WiFi 时会导致 WiFi 功能被系统关闭无法打开。他在 iOS 版本为 14.4.2 和 14.6 的 iPhone XS 上进行了测试,并报告了这个问题。这个问题只能通过重置网络设置解决。

    简单来说,这个问题可能是 iOS 未将 “%” 之类的格式化字符串作为普通文字处理导致的。

    ——量子位

  • Vivo mCDN漏洞

    Vivo mCDN漏洞

    Vivo作妖瞒着用户偷跑mCDN结果搞出一个大漏洞,首先通过公网可以扫出所有开放55555端口的设备,之后攻击者通过访问特定URL就可以操控目标设备打开任何一个快应用而无需确认。

  • linux内核漏洞实验

    linux内核漏洞实验

    此前进行Linux内核引入漏洞实验的研究人员在朋友圈发布的回应。

  • 明尼苏达大学研究人员向Linux内核提交漏洞的代码

    明尼苏达大学计算机科学和工程系的两名研究人员向Linux内核提交了包含漏洞的代码并在此后修复它们。

    此后Linux内核维护者拒绝了所有明尼苏达大学的补丁。该校在获知后已声明要调查此事。

    研究者表示,这项研究旨在通过提高人们对这类问题的认知来改进修补过程,激励人们开发自动补丁检测和验证工具。

  • Chrome 存在严重的远程代码执行漏洞

    Chrome 存在严重的远程代码执行漏洞(0Day)

    互联网上曝出 Chrome 存在远程代码执行漏洞。目前,国外安全研究人员已公开详细漏洞利用代码,漏洞危害极大。

    可以暂时升级到 chrome 测试版( 90.0.4430.70 ),或者在沙箱中使用 chrome 。

  • 阿里云网盘存在设计漏洞

    有传闻说阿里云网盘存在设计漏洞,可通过伪造秒传文件的方式获取任何用户的文件,无论该用户是否分享过。因为基于sha1的设计没有经过鉴权。