漏洞安全
关注
分享
扫一扫
罗彬桦
君子以自强不息
展开
-
Nginx HTTP/2模块远程拒绝服务漏洞
漏洞描述:漏洞存在于ngx_http_v2_module模块之中(默认情况下不编译,编译时需要开启--with-http_v2_module,同时将listen http2添加到配置文件中),当用户添加http2支持时,攻击者可以发送特制的HTTP/2请求,可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844),最终导致服务器DoS。方案一: 升级至Nginx最新安全版本(1.15.6或1.14.1),官方下载链接:http://nginx.org/en原创 2021-08-25 21:33:28 · 1613 阅读 · 0 评论 -
2020年12月27日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35728)。
漏洞描述:2020年12月27日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35728)。利用该漏洞,攻击者可远程执行代码,控制服务器。若未使用enableDefaultTyping()方法,可忽略该漏洞。安全版本: jackson-databind >= 2.9.10.8 (尚未推出) jackson-databind >= 2.10.0 漏洞缓解措施: 1.官方..原创 2021-08-25 21:29:07 · 1365 阅读 · 0 评论 -
VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中
漏洞描述: VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421。 CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5原创 2021-08-25 21:27:12 · 661 阅读 · 0 评论 -
Fastjson 1.2.69以下版本中存在远程代码执行漏洞,黑客可利用该漏洞获取服务器权限,给服务器安全带来极大安全隐患.
解决方法:升级版本至1.2.69及以上版本检测到服务器存在漏洞风险,建议立即对相关主机进行快照备份,避免遭受损失。参考链接:https://cloud.tencent.com/announce/detail/1112?from=timeline&isappinstalled=0...原创 2021-08-25 21:24:17 · 763 阅读 · 0 评论 -
FastJSON 在反序列化 JSON 时存在反序列化漏洞,可以造成远程命令执行漏洞。
解决方法:1、升级到1.2.48以上的版本2、拦截请求中的`@type`关键字,推荐使用腾讯云网站管家检测到服务器存在漏洞风险公告:https://github.com/alibaba/fastjson/wiki/security_update_20170315原创 2021-08-25 21:22:49 · 325 阅读 · 0 评论