Tomcat 安全管理器被绕过漏洞（CVE-2014-7810）

2016年10月21日 9 阅读

Tomcat 全系爆绕过安全管理器的漏洞，漏洞编号：CVE-2014-7810 Security Manager Bypass漏洞严重程度: 一般受影响版本：- - Apache Tomcat 8.0.0-RC1 to 8.0.15- - Apache Tomcat 7.0.0 to 7.0.57- - Apache Tomcat 6.0.0 to 6.0.43漏洞说明:恶意的 Web 应用可通过使用表达式语言来绕过 Tomcat 安全管理器的保护，该问题...

浅谈JS DDoS攻击原理与防御

2016年10月21日 11 阅读

分布式拒绝服务攻击（DDoS）攻击是一种针对网站发起的最古老最普遍的攻击。Nick Sullivan是网站加速和安全服务提供商CloudFlare的一名系统工程师。近日，他撰文介绍了攻击者如何利用恶意网站、服务器劫持和中间人攻击发起DDoS攻击，并说明了如何使用HTTPS以及即将到来的名为“子资源一致性（Subresource Integrity，简称SRI）”的Web新技术保护网站免受攻击。现代网站的大部分交互都来自于JavaSc...

一个存在11年的虚拟软盘驱动器代码漏洞导致QEMU虚拟机缓冲区溢出

2016年10月21日 9 阅读

非法操作可以使代码在主机上运行备受欢迎的虚拟工作站所依赖的来自于 QEMU （一款用于管理虚拟机的开源电脑模拟器）的一段虚拟软盘控制器代码被指出有一个十分容易被引发的漏洞，该漏洞允许用户摆脱访客身份限制而获取主机代码的执行权限。受影响的虚拟工作站有 Xen ， KVM （Kernel-based Virtual Machine，开源的系统虚拟化支持模块）和被用于各种云计算服务的原生QEMU客户端。在一篇周一发布的博文中，研究人员表示，数以千计的集群用户和上...

ElasticSearch 远程代码执行漏洞 CVE-2015-1427

2016年10月21日 10 阅读

ElasticSearch 提供了一个扩展 JSON API ，提供搜索以及系统管理的功能。该 API 日前爆出编号为 CVE-2015-1427 的远程代码执行漏洞，该漏洞源于一篇博客的介绍，请看 here （translated）.可通过升级到 1.4.3 或者更新版本来修复这个漏洞。否则如果你的 ElasticSearch 暴露在互联网就可能通过如下代码来执行远程代码：{"query": {"filtered": { "query": {"m...

Cisco Headend Digital Broadband Delivery System跨站脚本漏洞（CVE-2015-0724）

2016年10月21日 9 阅读

Cisco Headend Digital Broadband Delivery System跨站脚本漏洞（CVE-2015-0724）发布日期：2015-05-12更新日期：2015-05-18受影响系统：Cisco Headend Digital Broadband Delivery System描述：BUGTRAQ ID: 74621CVE（CAN） ID: CVE-2015-0724Cisco Headend Digital Broadband D...

Cisco Access Control Server文件包含漏洞（CVE-2015-0729）

2016年10月21日 9 阅读

Cisco Access Control Server文件包含漏洞（CVE-2015-0729）发布日期：2015-05-12更新日期：2015-05-18受影响系统：Cisco Access Control Server描述：CVE（CAN） ID: CVE-2015-0729Cisco Secure Access Control System是访问策略控制平台。Cisco Access Control Server （ACS）对某些参数没有正确验证用户...

ClamAV拒绝服务漏洞（CVE-2015-2668）

2016年10月21日 9 阅读

ClamAV拒绝服务漏洞（CVE-2015-2668）发布日期：2015-04-29更新日期：2015-05-18受影响系统：ClamAV ClamAV < 0.98.7描述：BUGTRAQ ID: 74472CVE（CAN） ID: CVE-2015-2668Clam AntiVirus是Unix的GPL杀毒工具包，很多邮件网关产品都在使用。ClamAV 0.98.7之前版本存在拒绝服务漏洞，远程攻击者通过构造的xy存档文件，利用此漏洞可造成拒绝服...

Hospira LifeCare PCA Infusion System安全限制绕过漏洞（CVE-2014-5406）

2016年10月21日 9 阅读

Hospira LifeCare PCA Infusion System安全限制绕过漏洞（CVE-2014-5406）发布日期：2015-05-05更新日期：2015-05-18受影响系统：Hospira LifeCare PCA Infusion System <= 5.0描述：BUGTRAQ ID: 74476CVE（CAN） ID: CVE-2014-5406Hospira LifeCare PCA Infusion System是向患者提供药...

EMC Document Sciences xPression SQL注入漏洞

2016年10月21日 9 阅读

EMC Document Sciences xPression SQL注入漏洞发布日期：2015-05-10更新日期：2015-05-19受影响系统：EMC Document Sciences 4.5 SP1EMC Document Sciences 4.2描述：CVE（CAN） ID: CVE-2015-0540EMC Document Sciences是客户通讯管理解决方案。EMC Document Sciences xPression 4.2、4.5...

Apple Mac OS X Server 访问控制安全限制绕过漏洞（CVE-2015-1151）

2016年10月21日 11 阅读

Apple Mac OS X Server 访问控制安全限制绕过漏洞（CVE-2015-1151）发布日期：2015-04-24更新日期：2015-05-20受影响系统：Apple Mac OS X Server < 4.1描述：BUGTRAQ ID: 74355CVE（CAN） ID: CVE-2015-1151OS X（前称Mac OS X）是苹果公司为麦金塔电脑开发的专属操作系统的最新版本。Apple OS X Server 4.1之前版本，W...

Google Chrome 43.0.2357.65之前版本多个安全漏洞

2016年10月21日 9 阅读

Google Chrome 43.0.2357.65之前版本多个安全漏洞发布日期：2015-05-19更新日期：2015-05-20受影响系统：Google Chrome < 43.0.2357.65描述：BUGTRAQ ID: 74723CVE（CAN） ID: CVE-2015-1252,CVE-2015-1253,CVE-2015-1254,CVE-2015-1255,CVE-2015-1256,CVE-2015-1251,CVE-2015-1...

Google Chrome多个安全漏洞（CVE-2015-1265）

2016年10月21日 9 阅读

Google Chrome多个安全漏洞（CVE-2015-1265）发布日期：2015-05-19更新日期：2015-05-20受影响系统：Google Chrome 43.0.2357.65描述：BUGTRAQ ID: 74727CVE（CAN） ID: CVE-2015-1265Google Chrome是由Google开发的一款Web浏览工具。Chrome 43.0.2357.65之前版本存在多个安全漏洞，目前细节未知。<*来源：Google ...

Google V8 4.3.61.21之前版本多个安全漏洞

2016年10月21日 9 阅读

Google V8 4.3.61.21之前版本多个安全漏洞发布日期：2015-05-19更新日期：2015-05-20受影响系统：Google V8 JavaScript Engine < 4.3.61.21描述：BUGTRAQ ID: 74730V8是Google的开源JavaScript引擎。Chrome V8 4.3.61.21之前版本存在多个安全漏洞，目前细节未知。<*来源：Google *>建议：厂商补丁：Google-----...

WordPress FeedWordPress插件SQL注入漏洞

2016年10月21日 9 阅读

WordPress FeedWordPress插件SQL注入漏洞发布日期：2015-05-14更新日期：2015-05-20受影响系统：WordPress FeedWordPress描述：BUGTRAQ ID: 74712FeedWordPress是WordPress的一个Atom/RSS聚合器。FeedWordPress插件在实现上存在sql注入漏洞，攻击者操纵sql查询逻辑，利用此漏洞对下层数据库执行未授权操作。<*来源：Adri&#19...

多个Foxit MobilePDF产品SSL证书验证安全限制绕过漏洞

2016年10月21日 9 阅读

多个Foxit MobilePDF产品SSL证书验证安全限制绕过漏洞发布日期：2015-05-18更新日期：2015-05-20受影响系统：Foxit Foxit Reader < 3.3.2描述：BUGTRAQ ID: 74716Foxit MobilePDF是免费的PDF阅读器。Foxit MobilePDF 3.3.2之前版本在实现上存在安全限制绕过漏洞，成功利用后可使攻击者执行中间人攻击， 模拟服务器。<*来源：Sam Bowne *&...

Huawei E355s信息泄露漏洞

2016年10月21日 10 阅读

Huawei E355s信息泄露漏洞发布日期：2015-04-29更新日期：2015-05-21受影响系统：Huawei E355描述：BUGTRAQ ID: 74397CVE（CAN） ID: CVE-2015-3912Huawei E355是无线上网卡产品。Huawei E355s在实现上存在信息泄露漏洞，攻击者利用此漏洞可获取敏感信息。<*来源：Evilsocket *>建议：厂商补丁：Huawei------目前厂商还没有提供补丁或者升...

Cisco IOS及IOS XE Software拒绝服务漏洞（CVE-2015-0708）

2016年10月21日 9 阅读

Cisco IOS及IOS XE Software拒绝服务漏洞（CVE-2015-0708）发布日期：2015-04-28更新日期：2015-05-21受影响系统：Cisco IOS 15.5SCisco IOS 15.4SNCisco IOS 15.4SCisco IOS XE 3.14SCisco IOS XE 3.13S描述：BUGTRAQ ID: 74382CVE（CAN） ID: CVE-2015-0708Cisco IOS是多数思科系统路由器和...

Cisco IOS及IOS XE Software拒绝服务漏洞（CVE-2015-0709）

2016年10月21日 9 阅读

Cisco IOS及IOS XE Software拒绝服务漏洞（CVE-2015-0709）发布日期：2015-04-28更新日期：2015-05-21受影响系统：Cisco IOS 15.5S描述：BUGTRAQ ID: 74381CVE（CAN） ID: CVE-2015-0709Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。Cisco IOS 15.5S及IOS XE存在远程拒绝服务漏洞，经过身份验证的远程用户通过发送构...

Huawei E587身份验证绕过漏洞（CVE-2015-3911）

2016年10月21日 9 阅读

Huawei E587身份验证绕过漏洞（CVE-2015-3911）发布日期：2015-04-29更新日期：2015-05-20受影响系统：Huawei E587 11.100.00.00.00描述：BUGTRAQ ID: 74434CVE（CAN） ID: CVE-2015-3911Huawei E587是款无线上网卡产品。Huawei E587 11.100.00.00.00版本存在身份验证绕过漏洞，可被攻击者利用查看、更改配置信息，发送短消息，无需登...

Cisco ASR 5000 拒绝服务漏洞（CVE-2015-0712）

2016年10月21日 9 阅读

Cisco ASR 5000 拒绝服务漏洞（CVE-2015-0712）发布日期：2015-04-28更新日期：2015-05-21受影响系统：Cisco ASR 5000描述：BUGTRAQ ID: 74407CVE（CAN） ID: CVE-2015-0712Cisco ASR 5000 系列是一个运营商级平台，可用于部署高需求的3G网络以及向长期演进（LTE） 迁移。ASR 5000设备上，Cisco StarOS 12.0, 12.2（300）, ...