近日，白帽在HackerOne平台上报了FFmpeg漏洞，该漏洞利用FFmpeg的HLS播放列表处理方式，可导致本地文件曝光，目前POC已经公开，安全风险高危，为了确保您的业务正常，防止数据泄露，建议您尽快排查和升级。 FFmpeg是一个免费的多媒体框架,可以运行音频和视频多种格式的录影、转换、流功能,能让用户访问几乎所有视频格式,包括mkv、flv、mov,VLC Media Player、Google Chrome浏览器都已经支持。 具体详情如下: 漏洞编号: 暂无 漏洞名称: FFmpeg…

2017年6月13日，微软6月补丁日披露两个正在被利用的远程代码执行漏洞(CVE-2017-8543)Windows Search远程代码执行漏洞和(CVE-2017-8464)LNK文件（快捷方式）远程代码执行漏洞，两个漏洞均可以被远程利用，获取操作系统管理员权限，从而控制业务系统，安全风险为高危。 目前据微软公告所述，此漏洞被用于国家级的针对性攻击，特别是针对企业级服务器业务需要提升处理优先级到最高。 为了确保您在阿里云上的业务安全，阿里云安全团队强烈提醒您关注并尽快修复漏洞。 修复措施: …

2017年6月9日开始，一款名为“暗云”的木马在互联网大规模传播，“暗云”木马具有隐蔽性强、潜在危害大、传播范围广等特点。6月9日至今，国家互联网应急中心监测发现我国境内有160余万台电脑感染了此木马。为此，国家互联网应急中心首次开通了“暗云”木马感染数据免费查询服务，点击网址http://d.cert.org.cn即可查询您使用的IP地址是否受到木马感染。如果您有意见或建议，欢迎通过电话 010-82990999或邮箱cncert@cert.org.cn与国家互联网应急中心联系。 说明：1.“…

漏洞描述 2017年5月30日,国外安全研究人员发现Linux环节下，可以通过sudo实现本地提权漏洞，漏洞编号为CVE-2017-1000367，该漏洞几乎影响了所有Linux系统。 当确定tty时，Sudo没有正确解析/ proc / [pid] / stat的内容，本地攻击者可能会使用此方法来覆盖文件系统上的任何文件，从而绕过权限或获取root shell。 影响版本 Sudo 1.8.6p7 到 1.8.20 漏洞等级 高危 修复建议 升级到Sudo至最新版本。 了解更多 Redhat：…

近日，国家信息安全漏洞共享平台（CNVD）收录了Joomla! com_fields组件存在的SQL注入漏洞（CNVD-2017-06861、对应CVE-2017-8917）。远程攻击者无需任何身份认证，可获取数据库敏感信息，包括管理员登录信息并控制网站后台。

近日，国家信息安全漏洞共享平台（CNVD）收录了Jenkins存在的多个漏洞（CNVD-2017-05551、CNVD-2017-05570、CNVD-2017-05571、CNVD-2017-05572分别对应CVE-2017-1000353、CVE-2017-1000354、CVE-2017-1000355、CVE-2017-1000356）。攻击者利用上述漏洞，可在受影响的应用程序的上下文中执行任意代码、冒充Jenkins用户或造成Jenkins服务器拒绝服务等威胁。 一、漏洞情况分析Je…

漏洞描述：Riddle是一个在Oracle MySQL 5.5和5.6客户端数据库中发现的安全漏洞。允许攻击者在中间人位置使用Riddle漏洞破坏MySQL客户端和服务器之间的SSL配置连接。当MySQL5.5和5.6向服务器发送数据，包括用户名密码时，攻击者可以捕获它们。针对5.5.49、5.6.30版本的安全更新并没有完全修复漏洞。5.7版本之后以及MariaDB系统没有受到漏洞影响。 影响版本：MySQL 5.5和5.6 漏洞等级：中危修复建议：升级MySQL至5.7版本 了解更多http…

安全公告编号:CNTA-2017-0031 4月17日，Oracle发布了2017年4月份的安全更新，修复了其多款产品存在的299个安全漏洞。受影响的产品包括Oracle数据库（2个）、Oracle Secure Backup数据库安全备份（1个）、中间件产品Fusion Middleware（31个）；企业管理器网格控制产品Oracle Enterprise Manager Grid Control（2个）、电子商务套装软件OracleE-Business Suite（11个）、供应链套装软件…

安全公告编号:CNTA-2017-0027 4月11日，微软发布了2017年4月份的月度例行安全公告，修复了其多款产品存在的174个安全漏洞。受影响的产品包括Windows 10（68个）、Windows 10/Server 2016（24个）、Windows 8.1/Server 2012 R2（24个）、Windows Server 2012（18个）、Windows 7/Server 2008 R2（15个）、Windows Vista/Server 2008（11个）、Internet …

近日，国家信息安全漏洞共享平台（CNVD）收录了CNVD白帽子（ID：ayound）报送的Jackson框架enableDefaultTyping方法反序列化漏洞（CNVD-2017-04483）。攻击者利用漏洞可在服务器主机上执行任意代码或系统指令，取得网站服务器的控制权 一、漏洞情况分析Jackson是一套开源的java序列化与反序列化工具框架，可将java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。由于其解析效率较高，目前是Spring MVC中内置使用的解析方式。4…