【POC已公开】XStream多个高危漏洞安全风险通告
近日, XStream官方发布漏洞公告,公开了多个XStream高危漏洞的详细信息。其中CVE-2021-39139、CVE-2021-39141、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39151、CVE-2021-39153、CVE-2021-39154多个漏洞允许攻击者在目标机器上执行任意代码,CVE-2021-39144允许攻击者远程在目标机器执行命令,CVE-2021-39140允许拒绝服务,CVE-2021-39150、CVE-2021-39152可导致SSRF(服务端请求伪造)。鉴于此类漏洞危害较大,且细节和POC已公开,建议客户尽快自查XStream版本,升级到安全版本以避免受此影响。
影响范围:XStream <= 1.4.17
修复建议:XStream 1.4.18 版本修复了以上漏洞,建议尽快升级至安全版本:https://x-stream.github.io/download.html
若无法升级至最新版本可采用清除默认设置并使用白名单进行过滤的缓解措施进行加固。
参考来源:
https://mp.weixin.qq.com/s/Fj3zgNB_H2-_XJXemCubxw
OpenSSL安全漏洞风险通告
OpenSSL于8月24日发布安全更新,修复其产品中的2个安全漏洞。其中最为严重的是缓冲区溢出漏洞,追踪为CVE-2021-3711,攻击者利用其可导致应用程序崩溃。该漏洞与SM2加密数据的解密过程相关,可用来更改堆中的数据(即凭据)。此次修复的另一个漏洞追踪为CVE-2021-3712,攻击者可以利用该漏洞触发拒绝服务(DoS),还可能导致机密信息泄露,例如私钥或敏感明文。
漏洞CVE-2021-3711影响版本:OpenSSL 1.1.1-1.1.1k,修复版本:OpenSSL 1.1.1l。
漏洞CVE-2021-3712影响版本:OpenSSL 1.1.1-1.1.1k,OpenSSL 1.0.2-1.0.2y,修复版本:OpenSSL 1.1.1j,OpenSSL 1.0.2za。
鉴于漏洞危害较大,建议尽快自查并更新。
参考来源:
https://www.openssl.org/news/vulnerabilities.html#CVE-2021-3711
Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)风险通告
8月26日,Atlassian官方发布公告,披露了Atlassian Confluence 远程代码执行漏洞。攻击者经过认证后或在部分场景下无需认证,即可构造恶意请求,造成OGNL表达式注入,进而执行任意代码,控制服务器。此漏洞危害较大,建议受影响的用户尽快升级到安全版本以修复漏洞。
修复建议:
1)Atlassian Confluence Cloud用户,不受该漏洞影响。
2)Atlassian Confluence Server和Atlassian Confluence Data Center用户需升级版本至官方安全版本及以上:6.13.23、7.4.11、7.11.6、7.12.5、7.13.0,最新版本下载地址:
https://www.atlassian.com/software/confluence/download-archives
3)如若不能第一时间升级版本,可采取官方给出的缓解措施:
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
参考来源:
https://mp.weixin.qq.com/s/ZqVklnczobtEImRaC33zeA
微软云平台暴露3800万条客户数据:因默认配置不当
微软低代码开发平台Power Apps默认配置不安全,导致上千款应用的3800万条记录在线暴露,记录中包括大量个人敏感信息;此次事件还给多家主要企业及组织造成影响,包括美国航空公司、福特、运输与物流企业J.B. Hunt、马里兰州卫生部、纽约市交通局以及纽约多所公立学校。虽然情况已经得到控制,但事件再次表明,流行技术平台中的一项错误设置很可能引发深远的影响。
参考来源:
https://www.secrss.com/articles/33733
澳大利亚出现大规模利用短信分发Flubot的活动
近期,成千上万的澳大利亚居民遭到了一种名为Flubot的恶意软件的攻击。在此次活动中攻击者提醒目标有未接来电或语音信箱,并要求其点击一个伪造的链接来收听和查看。一旦用户点击链接,就会下载恶意软件。该恶意软件主要针对Android用户,具有窃取支付卡详细信息、拦截短信、浏览页面和收集手机上的其他信息访问权限等功能。Flubot早在今年年初就攻击了欧洲的多个国家,并在本月开始针对澳大利亚用户。
参考来源:
https://www.ehackingnews.com/2021/08/flubot-malware-targets-australians.html
Gartner发布2021年新兴技术成熟度曲线
根据Gartner最新发布的“2021年新兴技术成熟度曲线”(Hype Cycle for EmergingTechnologies, 2021),建立信任,加速增长以及塑造变革将是三大主要趋势,并可推动企业机构去探索诸如非同质化通证(NFT)、主权云、数据编织、生成式人工智能和组装式网络等新兴技术从而确保竞争优势。
Gartner研究副总裁BrianBurke表示:“技术创新是实现竞争差异化的一个关键因素而且是改变许多行业的催化剂。随着突破性的技术不断出现,即使是最具创新力的企业机构想要紧跟这一速度也极具挑战。在持续战略变革和经济不确定性的背景下,领先的企业机构将依靠今年新兴技术成熟度曲线中的新兴技术来建立信任和创造新的增长机会。”
在Gartner众多技术成熟度曲线中,新兴技术成熟度曲线是比较独特的一个,它对Gartner所研究的1500多项技术进行精选,生成一个“必须了解”的新兴技术和趋势的技术集,而这些技术有望在未来五至十年内提供较大的竞争优势。
参考来源:
https://www.secrss.com/articles/33753
Cisco Talos发布2021年Q2事件响应的威胁报告
Cisco Talos发布了2021年Q2事件响应的威胁报告。报告指出,上一季度,勒索软件首次不再占据主要位置,推测这可能是由Microsoft Exchange 漏洞利用活动的大幅增加导致的。之后,勒索软件攻击在本季度激增,占所有事件的近一半(46%),又成为最大的威胁。其中,主要的勒索软件包括REvil、Conti、WastedLocker和Darkside等。此外,与上一季度相比,本季度的安全检测绕过技术的使用有所增加。
参考来源:
本文资讯内容来源于互联网,版权归作者所有,如有侵权,请留言告知,我们将尽快处理。
关于安全帮®
安全帮®,是中国电信研究院安全工程研究中心旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。
联系方式:微信公众号留言或联系客服QQ3025437891
本文始发于微信公众号(安全帮):安全帮®每周资讯:XStream多个高危漏洞安全风险通告;Gartner发布2021年新兴技术成熟度曲线
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论