受CVE-2023-38545、CVE-2023-38546漏洞影响的包括curl(命令行工具)和libcurl(客户端URL传输库),两个工具用于通过各种网络协议传输数据。
全球受到Spring4Shell零日漏洞影响的组织中,大约有六分之一已经成为攻击者的目标。
成功利用上述漏洞的攻击者可以在目标系统上执行恶意代码。
建议各厂商单位对开发的软硬件产品和服务进行积极自查,重点检查对Apache Apache Log4j2组件的引用情况。
据分析,Maven Central 的 35,863 个可用软件包依赖于存在漏洞的 log4j 代码。这意味着 Maven Central 上超过 8% 的软件包至少有一个版本受漏洞影响。
经中心综合技术分析研判,该漏洞具有危害程度高、利用难度低、影响范围大的特点。
犀引擎发现较多镜像受该漏洞影响,免费试用中。
目前,漏洞利用细节已公开,Apache官方已发布补丁修复该漏洞。
鉴于此漏洞危害巨大,利用门槛极低,奇安信CERT建议用户尽快参考缓解方案阻止漏洞攻击。
OWASP发布了“十大开源软件风险”TOP10清单,并针对每种风险给出了安全建议。
报告还调研了中国政府。
委员会将由来自国安局、FBI和CISA等机构及包括国防部和司法部在内的政府部门的高级官员--以及来自Google、微软和Verizon等公司的私营部门高管混合组成。
发言人说介绍军队一直在努力应对重大网络攻击的后果,部分计算机网络暂时无法使用,处于瘫痪状态。
研究人员表示,2.15.0存在一个更严重的漏洞——信息泄露漏洞。
工信部通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
Apache Log4j-2中存在JNDI注入漏洞 , 成功利用此漏洞可以在目标服务器上执行任意代码。
Volkan 提到,此次导致漏洞的旧功能其实早已打算移除,但为了保证向后的兼容性而一直保留。
12月11日10点开始,监测到Mirai、Muhstik等多个僵尸网络家族利用此漏洞进行传播。
通过对所搜集的21起石油天然气行业网络安全事件的分析,得出结论。
从2007年开始至今,360追日团队发现毒云藤组织对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达11年的网络间谍活动。
微信公众号