漏洞_Tag标签_程序员俱乐部

· Struts2重要漏洞发布时间：2013-07-19

转载：Struts2被曝重要漏洞，波及全系版本ApacheStruts团队6月底发布了Struts2.3.15版本，由于该版本被发现存在重要的安全漏洞，因此该团队今天发布了Struts2.3.15.1安全更新版本。该版本修复的主要安全漏洞如下：1.通过在参数前面加上“action:”/“redirect:”/“redirectAction:”前缀，以实现远程代码执行，如下：代码http://host/struts2-blank/example/X.action?action:%25{... 查看全文

· Google Glass 被曝安全漏洞，现已修复发布时间：2013-07-18

GoogleGlass用户可以通过扫描二维码的便捷方式将设备连接到Wifi，然而这种快捷方式却为GoogleGlass埋下了安全隐患。据ATD报道，安全公司LookoutSecurity发现，黑客可以诱导GoogleGlass佩戴者通过QR码连接到不安全的Wifi网络，并在对方不知情的情况下获取GoogleGlass所有的网络连接数据。此外，如果黑客引导GoogleGlass进入存在漏洞的网页，还能够直接把GoogleGlass黑掉。LookoutSecurity在5月16日便发现了此漏洞... 查看全文

· Apache Struts 2安全更新，修复重要漏洞发布时间：2013-07-17

ApacheStruts团队6月底发布了Struts2.3.15版本，由于该版本被发现存在重要的安全漏洞，因此该团队今天发布了Struts2.3.15.1安全更新版本。该版本修复的主要安全漏洞如下：使用缩写的导航参数前缀时的远程代码执行漏洞使用缩写的重定向参数前缀时的开放式重定向漏洞建议开发者将所有Struts2应用程序升级至最新版本。如果你从其他分支迁移至2.3.x分支，需要注意，该分支最低要求ServletAPI2.4、JSPAPI2.0和Java5。详细信息：Struts2.3.15... 查看全文

· 黑客向NSA和伊朗革命卫队出售0day漏洞发布时间：2013-07-15

《纽约时报》报导了两位寻找程序0day漏洞的意大利黑客，他们将找到的漏洞细节出售给政府机构如NSA及其对手伊朗革命卫队。0day漏洞是指此前未知也未修复的程序bug，获取此类信息可以帮助入侵计算机系统。几年前，黑客通常会将漏洞信息出售给微软和苹果等公司，然后由它们去修复。但政府机构愿意付出更高的价格购买0day漏洞，迫使微软提高价格至最高15万美元。... 查看全文

· 谷歌员工赢取IE11首个漏洞奖金发布时间：2013-07-14

微软在上个月推出了“微软安全奖励项目”，如果用户能够在预览版IE11或者Windows8.1找到漏洞的话，就能够获得一笔奖金，令人没想到的是首个IE11漏洞奖金的获得者居然是谷歌的员工。微软日前在BlueHat博客中表示来自谷歌的信息安全工程师IvanFratric在IE11中找出了一个严重的漏洞，值得一提的是这位工程师也曾经在去年的BlueHat安全程序竞赛中拿到了2万美元的奖金。微软并没有公布他们到底为IvanFratric支付了多少奖金，但从此前的消息来看... 查看全文

· 开源播放器VLC被曝漏洞与安全公司骂战发布时间：2013-07-12

安全机构Secunia日前发布报告称，知名的开源播放器VLC中存在一个漏洞SA51464，它是由于VLC在错误解析SWF文件时的缓冲区溢出而导致的，该漏洞早在VLC2.0.4时就已经被曝光，但时至今日仍然未被修复。Secunia指责VideoLAN（VLC开发商），VLC2.0.5发布时开发团队表示他们已经在该版本中修复了SA51464，但是实际情况并非如此，Secunia联系了VLC安全团队，并且告知他们并没有正确修复该漏洞。但是，VLC并没有理会。VideoLAN总裁Jean... 查看全文

· VLC因漏洞报告与安全公司发生争吵发布时间：2013-07-11

`安全公司Secunia发表安全公告，声称在流行开源播放器VLC中发现安全漏洞，恶意用户可能会利用该漏洞入侵系统，称已经最新版的VLC2.0.7验证了该漏洞。VideoLAN总裁Jean-BaptisteKempf在博客上回应说，Secunia的报告充斥着谎言。双方对bug是否修复各执一词。Kempf指出，Secunia发现的bug位于FFmpeg/libav库，Secunia应该向FFmpeg项目而不是VLC报告bug，他指出FFmpeg/libav库被数以千计的项目使用... 查看全文

· 微软警示IE漏洞已被利用：IE8用户当心发布时间：2013-07-11

昨日，微软推送了7月份安全补丁，其中MS13-055是针对IE的累积性安全补丁，修复了17个秘密报告的漏洞，这些漏洞可能导致远程代码执行，影响IE6、IE7、IE8、IE9和IE10。在该补丁发布几个小时后，微软悄然对其页面进行了修改，之前微软表示并没有人利用这些漏洞实施网络攻击，用户尚未受到影响。然而，事实是，已经IE8用户受到攻击。微软证实，利用MS13-055所修复的漏洞进行的攻击已经存在了，有IE8用户向微软报告了此事，因此建议大家尽早安装MS13-055。&ldquo... 查看全文

· 奇虎升级移动安全软件修复重大Android漏洞发布时间：2013-07-10

北京时间7月10日晚间消息，奇虎360(NYSE:QIHU)今日对其移动安全应用360MobileSecurity进行了升级，修复了近日曝出的重大Android漏洞。移动网络安全公司BlueboxSecurity上周四表示，在Android操作系统中发现重大安全漏洞。该漏洞允许黑客将当前99%的应用转变为特洛伊木马程序，可能影响到99%的Android设备。奇虎360表示，从北京时间7月9日开始，在几家技术论坛陆续发现利用该漏洞的恶意代码。本周一，谷歌面向OEM厂商发布了该漏洞的补丁程序。今日... 查看全文

· 微软：谷歌发现漏洞助黑客攻击Windows发布时间：2013-07-10

微软周二表示，黑客通过谷歌研究人员两个月前披露的漏洞攻击了部分Windows电脑。谷歌研究人员当时并没有首先通知微软，而是直接对外公布了这一漏洞，所以引发了外界的批评。微软并未提供攻击细节，但该公司在周二发布的建议中表示，黑客已经发动了“定点攻击”。安全专家通常使用这一术语来描述针对企业和政府目标的网络攻击，动机主要是从事间谍和破坏活动。谷歌安全工程师塔维斯·奥曼迪(TavisOrmandy)今年5月披露该漏洞时引发了争议... 查看全文

· 程序员看过来：Android重大漏洞概念验证代码已公布发布时间：2013-07-10

上周，移动安全公司BlueboxSecurity研究人员声称发现了一个Android严重漏洞，这个漏洞允许攻击者修改应用程序的代码但不会改变其加密签名，这个漏洞从Android1.6开始就一直存在于Android中，影响过去4年间发布的99%的Android手机。据报道，日前，ViaForensics的安全研究员PauOlivaFora在GitHub上发布了一个概念验证模块，能利用验证签名真实性的漏洞。概念验证攻击利用的是开源Android逆向工程工具APKTool... 查看全文

· nginx 上传漏洞及 discuz 漏洞处理发布时间：2012-05-05

由于nginx早期的版本，至少我在用0.9.X的版本依旧存在漏洞，导致处理过的图片可以执行php代码简单的说就是写好的php代码将扩展名改为图片，如xx.jpg文件后通过discuz等开源论坛的上传功能上传后可以通过http://xxx.com/bbs/data/xxxxxxxx/xx.jpg/1.php方式执行xx.php里面的代码对于discuz论坛使用nginx的服务器可以使用rewrite方式防止代码执行rewrite^/bbs/data/.*\.(jsp|php)$http... 查看全文

· PHP紧急发布5.3.10修复重要漏洞发布时间：2012-02-22

近日，PHP5.3.9被安全人员发现存在严重的安全漏洞，远程攻击者可以直接利用此漏洞执行任意PHP代码，安全风险非常高。这个漏洞是PHP的普及安全扩展建立者，独立安全顾问StefanEsser发现，并命名为CVE-2012-0830。该漏洞(CVE-2012-0830)是由于PHP官方为解决多语言hash漏洞引入了新的机制产生的新的安全漏洞。目前PHP官方已经紧急发布了5.3.10版本修复漏洞。在一月初，SecurityFocus归类发布了一个设计错误，它偶然引入了一种独立的拒绝服务漏洞... 查看全文

· 利用SQL注入漏洞登录后台发布时间：2012-02-16

题记：工作需要，得好好补习下关于WEB安全方面的相关知识，故撰此文，权当总结，别无它意。读这篇文章，我假设读者有过写SQL语句的经历，或者能看得懂SQL语句早在02年，国外关于SQL注入漏洞的技术文章已经很多，而国内在05年左右才开始的。如今，谈SQL注入漏洞是否已是明日黄花，国内大大小小的网站都已经补上漏洞。但，百密必有一疏，入侵是偶然的，但安全绝对不是必然的。前些天，网上传得沸沸扬扬的“拖库”事件给我们敲响了安全警钟。在开发网站的时候，出于安全考虑，需要过滤从页面传递过来的字符。通常... 查看全文

· 谷歌钱包暂时关闭预付卡功能以应对安全漏洞发布时间：2012-02-13

谷歌已暂时关闭谷歌钱包的预付卡功能网易科技讯2月12日消息，据路透社报道，谷歌周五晚上表示，出于安全隐忧，公司已暂时关闭谷歌钱包的预付卡功能。谷歌钱包与支付副总裁奥萨马·贝迪尔（OsamaBedier）在博文上称，谷歌此举是为了应对信息安全公司zvelo此前发现的一个漏洞，如果用户丢失了手机，而且手机并没设置锁屏密码，那其预付卡金额就存在被窃取的风险。谷歌周五早些时候称正致力于解决这一问题，但并没提供进一步的细节信息。谷歌强烈建议谷歌钱包用户不要关闭锁屏密码等安全机制... 查看全文

· Mozilla紧急发布补丁修复火狐严重安全漏洞发布时间：2012-02-13

2月13日消息，据国外媒体报道，Mozilla发布一个紧急的补丁，修复火狐浏览器中的一个严重的安全漏洞。Mozilla把这个安全漏洞的等级列为“严重”。攻击者利用这个安全漏洞可以执行其代码和安装软件，除了用户正常浏览之外不需要用户任何互动。Mozilla发布的最新版本火狐10.0.1版修复的这个安全漏洞能够引起浏览器崩溃。恶意黑客可以利用这个漏洞实施执行代码攻击。Mozilla的安全公告称，Mozilla开发者安德鲁·麦克赖特... 查看全文

· 严重漏洞攻击：影响PHP、Java和ASP.NET发布时间：2012-01-31

安全研究员AlexanderKlink和JulianWalde发现了一个严重的漏洞，这个漏洞影响到大多数网络服务器。针对这个漏洞的攻击只需要一个HTTP请求，这个特殊设定的请求在提交表单数据时造成哈希碰撞。当发现时，这个攻击影响到Python、Ruby、PHP、Java和ASP.NET，目前厂商正在和研究人员合作发布补丁。全文见：http://tech.it168.com/a2012/0116/1302/000001302829.shtml... 查看全文

· 严重的拒绝服务漏洞影响多数网络服务器发布时间：2012-01-16

安全研究员AlexanderKlink和JulianWalde发现了一个严重的漏洞，这个漏洞影响到大多数网络服务器。针对这个漏洞的攻击只需要一个HTTP请求，这个特殊设定的请求在提交表单数据时造成哈希碰撞。当发现时，这个攻击影响到Python、Ruby、PHP、Java和ASP.NET，目前厂商正在和研究人员合作发布补丁。Tomcat发布了7.0.23和6.0.35两个版本，通过限制POST表单字段数量最大值不超过10000，来解决这个问题。变更记录说明这个最大值是可配置的，但没提供细节... 查看全文

· 浅析 HashTable 碰撞拒绝服务漏洞发布时间：2012-01-10

（转载）在去年（其实只是半个月前而已）,Tomcat就紧急发布安全漏洞通知，同时微软也发布了相应的安全漏洞通知，他们都是通过变通的方式来解决此拒绝服务漏洞。而在这风口浪的碰撞拒绝服务漏洞是什么呢？1.什么是HashTable碰撞?我觉得有必要先阐述一下什么是HashTable碰撞,因为这个拒绝服务漏洞不是因为服务器的编码原因或是疏忽造成的，而是程序语言自身的问题，此问题除了perl,ruby外，几乎无一幸免，可怜的JAVA当然也在其中了... 查看全文

· HTC新款Android手机存安全漏洞可泄露手机号发布时间：2011-10-03

北京时间10月3日消息，据国外媒体报道，专门报道Android新闻的科技博客网站AndroidPolice周日发现，宏达电（HTC）最新款的Android手机，如Thunderbolt、EVO3D和EVO4G，都存有一个重大安全漏洞，能够导致用户的电话号码、电子邮件、全球定位系统（GPS）定位以及短信内容被泄露出去。报道称，宏达电不久前刚发布了新修改注册信息工具，从而导致了这一安全漏洞的出现。AndroidPolice指出，当用户使用的应用要求接入互联网时，用户的个人信息就有可能受到攻击... 查看全文

漏洞_Tag标签_程序员俱乐部

非技术区

移动开发

DB2

开发

数据库

互联网

系统

资讯

创业

最新文章

今日热点

推荐文章