记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

【威胁通告】Spring多个漏洞 (CVE-2018-1257 ~ CVE-2018-1261)

阅读: 0当地时间5月9日,Spring官方发布了多个安全通告修复了数个安全漏洞,包括1个高危的远程代码执行漏洞。相关链接:https://pivotal.io/security文章目录漏洞描述CVE-2018-1257 (High)CVE-2018-1258 (Critical)CVE-2018-1259 (High)CVE-2018-1260 (Critical)CVE-2018-1261 (Critical)声 明关于绿盟科技漏洞描述CVE-2018-1257 (High)Spring Framework部分版本允许应用程序利用Spring消息模块通过简单的内存STOMP代理在WebSocket端点上公开STOMP。攻击者可以向broker发送一条特制的消息,导致拒绝服务攻击。同时满足以下所有条件才受到该
发布时间:2018-05-10 15:05 | 阅读:226963 | 评论:0 | 标签:威胁通报 CVE-2018-1257 CVE-2018-1258 CVE-2018-1259 CVE-2018-1260

【预警通告】Spring Data Commons远程代码执行漏洞(CVE-2018-1273)

阅读: 75Pivotal Spring官方发布安全公告,Spring Data Commons组件中存在远程代码执行漏洞(CVE-2018-1273),攻击者可构造包含有恶意代码的SPEL表达式实现远程代码攻击,直接获取服务器控制权限。Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,包含Commons、Gemfire、JPA、JDBC、MongoDB等模块。此漏洞产生于Spring Data Commons组件,该组件为提供共享的基础框架,适合各个子项目使用,支持跨数据库持久化。请受此漏洞影响用户尽快升级组件。详情请参考如下链接:https://pivotal.io/security/cve-2018-1273文章目录CVE-2018-1273 漏洞影响CVE-2018-1273 影响
发布时间:2018-04-12 15:05 | 阅读:127219 | 评论:0 | 标签:威胁通报 Spring Data Commons 漏洞 spring漏洞 漏洞

【预警通告】CVE-2018-1270:spring-messaging模块远程代码执行漏洞

阅读: 46Pivotal Spring官方发布安全公告,Spring框架中存在三个漏洞,其中编号为CVE-2018-1270的漏洞可导致远程代码执行。在引入且使用spring-messaging组件时,攻击者可通过WebSocket向服务器端发送携带有恶意代码的STOMP报文,直接获取服务器控制权限。Pivotal Spring官方4月9日对之前发布的公告进行了部分修订,受CVE-2018-1270漏洞影响的版本修订为Spring Framework 4.3.15及5.0.4。详情请参考如下链接:https://pivotal.io/security/cve-2018-1275文章目录漏洞影响影响排查解决建议漏洞简析漏洞影响目前已知受影响的Pivotal产品及版本为:Spring Framework 5.0
发布时间:2018-04-11 15:05 | 阅读:152758 | 评论:0 | 标签:威胁通报 CVE-2018-1270 spring漏洞 漏洞

Spring Data Rest服务器PATCH请求远程代码执行漏洞技术分析与防护方案

阅读: 148近日,Pivotal官方发布通告表示Spring-data-rest服务器在处理PATCH请求时存在一个远程代码执行漏洞(CVE-2017-8046)。攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,提交的JSON数据中存在SPEL表达式可以导致远程代码执行。官方已经发布了新版本修复了该漏洞。相关地址:https://pivotal.io/security/cve-2017-8046文章目录受影响的版本不受影响的版本技术防护方案用户自查官方修复方案绿盟科技防护建议绿盟科技检测类产品与服务使用绿盟科技防护类产品(IPS/IDS/NF/WAF)进行防护:临时解决方案技术分析补丁分析程序验证复现RCE分析声明关于绿盟科技受影响的版本Spring Data REST ve
发布时间:2017-10-01 11:30 | 阅读:224438 | 评论:0 | 标签:安全报告 CVE-2017-8045 RCE分析 spring CVE-2017-8045 spring漏洞 威胁通告

【预警通告】Spring Data Rest服务器PATCH请求远程代码执行漏洞 CVE-2017-8046

阅读: 45近日,Pivotal官方发布通告表示Spring-data-rest服务器在处理PATCH请求时存在一个远程代码执行漏洞(CVE-2017-8046)。攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,提交的JSON数据中存在SPEL表达式可以导致远程代码执行。官方已经发布了新版本修复了该漏洞。相关地址:https://pivotal.io/security/cve-2017-8046文章目录受影响的版本不受影响的版本解决方案声 明关于绿盟科技受影响的版本Spring Data REST versions < 2.5.12, 2.6.7, 3.0 RC3Spring Boot version < 2.0.0M4Spring Data release tra
发布时间:2017-09-30 01:05 | 阅读:133878 | 评论:0 | 标签:威胁通报 cve-2017-8046 spring cve-2017-8046 spring漏洞 预警通告 漏洞

【预警通告】Spring AMQP服务器远程代码执行漏洞 CVE-2017-8045

阅读: 64近日,Pivotal官方发布通告表示Spring AMQP服务器存在一个远程代码执行漏洞(CVE-2017-8045)。该漏洞原因是由于在于org.springframework.amqp.core.Message被不安全的反序列化为一个string,从而导致远程代码执行。官方已经发布了新版本修复了该漏洞。相关地址:https://pivotal.io/security/cve-2017-8045文章目录受影响的版本不受影响的版本解决方案声 明关于绿盟科技受影响的版本Spring AMQP versions < 1.7.4, 1.6.11, 1.5.7不受影响的版本Spring AMQP: 2.0.0, 1.7.4, 1.6.11, 1.5.7解决方案官方已经发布了新版本修复了该漏洞,受影响的
发布时间:2017-09-30 01:05 | 阅读:116662 | 评论:0 | 标签:威胁通报 CVE-2017-8045 spring CVE-2017-8045 spring漏洞 威胁通告 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云