漏洞_Tag标签_程序员俱乐部

· GnuTLS发现缓冲溢出漏洞，补丁已释出发布时间：2014-06-04

OpenSSL替代加密库GnuTLS发现了一个缓冲溢出漏洞，可被利用执行任意代码。漏洞出在ServerHello信息中会话ID的长度检查不正确。一个恶意配置的服务器在与设备建立HTTPS加密连接时，可通过发送超过会话ID值长度的畸形数据触发缓冲溢出。如果设备使用的GnuTLS版本没有打上补丁，设备能被攻击者远程劫持。GnuTLS被许多流行Linux发行版和软件所使用，开发者已在上月底发布了新版3.1.25、3.2.15和3.3.4，修复漏洞，多数发行版应该已经打上了补丁。... 查看全文

· “心脏流血”漏洞死灰复燃？Android设备或遭攻击发布时间：2014-06-02

在安全公司Codenomicon和谷歌安全工程师发现了“心脏流血”（Heartbleed）漏洞，并提交给相关管理机构整整7周后，这一漏洞似乎依旧在给人们制造问题。据葡萄牙互联网安全研究人员刘易斯-格兰吉亚(LuisGrangeia)透露，黑客可以利用这一漏洞通过Wifi展开类似的攻击行为。据悉，格兰吉亚所发现的新型攻击形式被称为“Cupid”。“Cupid”的攻击步骤与“心脏流血”完全一致... 查看全文

· Apache Tomcat全系再曝严重安全漏洞发布时间：2014-05-28

ApacheTomcat全系产品再次爆出严重的安全漏洞，其中包括2个DoS漏洞和3个信息泄露漏洞。1.CVE-2014-0095：DoS（拒绝服务）漏洞如果AJP请求中设置了一个长度为0的内容，会导致AJP请求挂起，这会消耗一个请求处理线程，可能导致拒绝服务攻击。受影响版本：ApacheTomcat8.0.0-RC2~8.0.32.CVE-2014-0075：DoS（拒绝服务）漏洞攻击者可以制作一个特殊大小的chunked请求，允许大量数据流传输到服务器，并可以绕过各种大小验证... 查看全文

· NSA工作出色的原因之一是软件漏洞百出发布时间：2014-05-27

记者QuinnNorton根据其亲身经历称，她的一位朋友发现了一个软件漏洞，找到了获得网络管理访问权限的方法，他写了一个脚本看看会发生什么。结果一觉醒来他发现自己能控制5万台电脑。因为担心被FBI抓到监狱里，他毁灭了所有证据，甚至将硬盘扔进火里。这个故事一点也不特别，安全领域的许多故事比这更糟糕，因为计算机和互联网上一切都是支离破碎的。NSA不是互联网上最大的食肉动物，它不过是最大的食腐动物，它的工作之所以出色只是因为软件本身实在在太糟糕了。软件之所以变烂是因为它太复杂可... 查看全文

· 苹果修复App Store漏洞 “免费福利”没啦！发布时间：2014-05-26

为了更好的体验，用户在AppStore购买应用后可以申请无条件退款。但是，现在这项“福利”没了，用户无法再重新安装或升级已经退款的软件。若用户购买App后向苹果申请退款成功，想重新购买或升级该APP，便会提示如下内容：“此AppleID无法对软件进行升级，因为这款软件已经由另外一位用户购买或该软件已经收到退款或订单已经取消，所以此次升级不支持该AppleID。”之前，用户在AppStore购买应用并退款之后，仍可重新安装该应用并进行更新... 查看全文

· 锤子官网现“撞库”漏洞：或泄露身份信息发布时间：2014-05-22

锤子手机发布后就在官网开启了预约，不过过程并非顺风顺水。今天下午16:30,漏洞平台乌云爆出锤子科技官网存在无限制撞库漏洞，危害等级为高。现在该漏洞的细节已经通知锤子科技，并等待处理中。该漏洞的发现者“寒江不钓”并没有提供更加详细的漏洞描述，不过“撞库”是黑客术语，即用从某处得来的账号密码尝试在其他网站进行登录尝试，因此存在身份信息泄露风险。有意思的是，“我不是为了黑你，我就是认真”这句话好像在哪里听过。漏洞概要缺陷编号... 查看全文

· 中信银行回应网银漏洞称不存在客户资金损失可能发布时间：2014-05-20

针对媒体报道称，中信银行网上银行出现漏洞，中信银行昨天回应称，不存在客户资金损失的可能，将对客户姓名进行脱密处理（根据需要把秘密点进行隐藏处理）。据媒体报道，在中信银行网上银行输入特定运营商的电话号码后就显示出该号码机主的姓名和余额，如果是单位固定电话，还会显示单位全称。网友认为此举会导致手机用户隐私被泄露。针对报道，中信银行昨天表示，中信银行网上银行手机缴费功能存在部分地区输入手机号会显示客户姓名的情况，由于此功能必须登录网上银行才能操作，是高安全级别的操作，不存在客户资金损失的可能... 查看全文

· 中信银行网银现漏洞个人姓名单位全称一览无余发布时间：2014-05-19

在中信银行网银上随便输入一个电话号码，即可查知机主相关信息近日有网友爆料称，用中信银行的网上银行为手机进行充值，在不付费的情况下可以知道机主的名字，导致手机用户隐私被泄露。记者亲自在中信银行网上银行试验发现，输入特定运营商的电话号码后无须充值，页面上即可显示该号码机主的姓名、余额，如果是单位固定电话，还会显示单位全称。中信银行青岛分行网络银行部负责人则认为，银行考虑到显示的只是一个名字，“没有什么大碍”。个人姓名单位全称一览无余记者根据网友提供的步骤... 查看全文

· Heartbleed漏洞补丁引发SSL链接bug发布时间：2014-05-04

OpenSuSE社区收到关于最近因为OpenSSLheartbleed漏洞的修复关于padding扩展代码的改动导致IronPortSMTP服务器出现异常阻断的bug报告。OpenSSL1.0.1g不仅仅是修复了heartbleed漏洞，而且也增加了一些padding扩展的改动：#defineTLSEXT_TYPE_padding21这直接导致SSL链接出错(至少在Ironports的设备上):SSL23_GET_SERVER_HELLO... 查看全文

· 微软推IE补丁修复零点漏洞最终还是没忘记XP发布时间：2014-05-02

5月2日，据华尔街日报网站报道，微软当地时间周四宣布，该公司发布了修正IE浏览器中一处重大缺陷的补丁软件，其中包括在WindowsXP上运行的IE版本。微软本周末警告用户称，黑客在利用IE中一处新发现的零点漏洞兴风作浪。该缺陷引起计算机用户非同寻常的关注，因为它也影响在WindowsXP上运行的老版本IE。今年4月8日，微软正式停止对WindowsXP提供服务，并表示将不再为WindowsXP发布补丁软件。从理论上说，这意味着黑客能永久地利用新发现的缺陷兴风作浪。但微软决定&ldquo... 查看全文

· 微软支招 IE超级漏洞有救了发布时间：2014-05-01

4月末微软发布安全公告向用户披露了一个涉及全部版本IE浏览器的重大漏洞，而随后美国安全局更是建议暂时停用微软的浏览器产品，从而避免风险。现在，或许是为了减少用户流失。微软已经迅速对该漏洞开出处方，帮助用户降低安全风险。微软在编号2963983的安全通告中表示，此前发现的漏洞能够让黑客访问IE已删除或未被正确分配的内存区域，从而获得与当前活动用户账户相同的权限，而如果用户正好是管理员账户，那么不好意思，你点的电脑将被完全控制，这意味着黑客可以对计算机中的数据和用户行为肆意妄为... 查看全文

· Flash漏洞让黑客能远程控制Linux、Windows和Mac发布时间：2014-04-29

北京时间4月29日消息，Adobe今天公布了一个安全报告，指出Flash产品中存在一关键漏洞（CVE-2014-0515）。据悉，该漏洞允许攻击者远程控制受此漏洞影响的系统。Adobe表示，它已经意识到这个问题，并指出这个漏洞不仅仅会影响到Windows，Mac和Linux的电脑也会受到此漏洞的影响。受影响的版本包括Windows上的FlashPlayer13.0.0.182以及早期版本，Mac上的FlashPlayer13.0.0.201以及早期版本... 查看全文

· 黑客可利用“心脏流血”漏洞绕过VPN认证发布时间：2014-04-19

北京时间4月19日上午我消息，研究人员刚刚发现了利用“心脏流血”漏洞的另外一种方式，黑客可以借此成功绕过多步认证措施，以及VPN(虚拟专用网络)的欺诈探测机制。当OpenSSL的这一重大漏洞上周曝光后，外界对其主要危害的了解仅限于窃取用户名、密码和加密秘钥。但研究人员最近证实，该漏洞还可以用于在广泛使用的OpenVPN以及其他的VPN应用中窃取私钥。网络安全研究公司Mandiant的研究人员周五表示，“心脏流血”漏洞已经被用于破坏VPN集中器... 查看全文

· 甲骨文发布4月安全更新，Java SE含高危漏洞发布时间：2014-04-17

甲骨文公司今天发布了2014年4月重要补丁更新，这个补丁更新包修复了甲骨文的多个产品中的104个漏洞，其中包括JavaSE、MySQL、Oracle数据库、OracleLinux、OracleFusion中间件以及其他企业相关套件等。一些漏洞相当危险，甲骨文建议用户尽快更新。此次更新中，有37个漏洞与JavaSE相关，其中有4个漏洞的CVSS评分为10.0，此外，29个漏洞只影响客户端Java，6个漏洞影响服务器端Java。Oracle数据库中包含2个重要的漏洞，CVSS评分高达8.5... 查看全文

· 如发现了"影响国家安全"的网络保安漏洞，美国政府可选择是否透露发布时间：2014-04-14

当Heartbleed这个OpenSSL协定里的安全风险bug在上星期"出土"之时，Bloomberg直指美国国家安全局其实已经知情不报多年，并以其来取得网络用户的资讯。美国政府虽然已经否认了这个指控，指出他们也跟世界一样，都是最近才发现这个漏洞；不过现在纽约时报又有另一个版本跟大家分享了。他们指出美国总统欧巴马曾作出过决定，认为在大部分情况下，美国政府应该在发现网络保安漏洞时对外公布，这样有关的漏洞就可以被修正；不过如果有"清晰的国家安全或执法需要"，上述决定则可以"例外"... 查看全文

· 看谁中抢？“心脏出血”漏洞波及网站一览发布时间：2014-04-14

“心脏出血”(Heartbleed)被称为互联网史上最严重的安全漏洞之一，波及了大量常用网站、服务，包括很多人每天都在用的Gmail等等，可能导致用户的密码、信用卡轻易泄露。其实，该漏洞针对的是主要是网站、主机服务商、操作系统提供商，普通用户基本上是无能力为例的，能做的只有三件事：及时更新受影响的操作系统、不登录还未修复此漏洞的网站、在确认已经修复该漏洞的HTTPS类网站(网购网站/网银等)修改登录密码。很多网站和服务器供应商还在对漏洞进行研究，对于自家是否受影响... 查看全文

· 幕后大起底：OpenSSL Heartbleed漏洞消息发布前的惊魂72小时发布时间：2014-04-13

从芬兰到硅谷，有一支小规模的漏洞猎手团队发现了互联网历史上最为严重的网络安全漏洞，并为之积极准备着。最近Heartbleed这个词可谓是家喻户晓，这个安全漏洞引起了几乎每个网民的担心。但其实DavidChartier早在一周前，当所有人还蒙在鼓里的时候，就已经知道它的存在了。周五一大早，Codenomicon安全公司的CEOChartier接到了一个从芬兰打来的电话，那时他才刚刚到达在硅谷的办公室。在那个平常的不能再平常的阴霾天，Chartier同往常一样接起了电话... 查看全文

· 关于 HeartBleed 安全漏洞的 2 张漫画发布时间：2014-04-12

HeartBleedBug的工作原理：... 查看全文

· “心脏流血”漏洞波及思科产品发布时间：2014-04-11

全球最大的两家网络设备厂商思科和Juniper周四宣布，它们的某些产品也包含了Heartbleed漏洞。这意味着用户们在企业网络、家庭网络和互联网之间传输用户名、密码和其他敏感信息时，那些信息也有可能被黑客窃取到。周一曝出有关Heartbleed漏洞的消息后，很多网站比如雅虎、亚马逊和Netflix等公司旗下的网站已经迅速堵住了该漏洞。但是思科和Juniper表示，企业用户们经常使用的路由器、交换机和防火墙等设备也受到了这个安全漏洞的影响。而且，那些连网设备上的漏洞更难被修复。专家称... 查看全文

· 心脏出血漏洞？神回答：我没钱不怕发布时间：2014-04-11

近日，一个名为“心脏出血”(Heartbleed)的网络安全漏洞引起广泛关注，原本用于安全加密的OpenSSL却出现如此重大隐患，而且波及范围广泛，实在令人忧心忡忡，不过淡定的同学也大有人在。据了解，利用这个漏洞可以从特定服务器上随机获取64K的工作日志，整个过程如同钓鱼，攻击可能一次次持续进行，大量敏感数据可能泄露。央视新闻频道记者就这个问题进行了一番街头随机采访。节目视频中出现了七位市民，有三人表示没听说过、不太清楚，有两人说挺担心，不敢乱注册了。然后就是神回复哥... 查看全文

漏洞_Tag标签_程序员俱乐部

非技术区

移动开发

DB2

开发

数据库

互联网

系统

资讯

创业

最新文章

今日热点

推荐文章