• 关于Jenkins存在Java反序列化等多个漏洞的安全公告

    近日,国家信息安全漏洞共享平台(CNVD)收录了Jenkins存在的多个漏洞(CNVD-2017-05551、CNVD-2017-05570、CNVD-2017-05571、CNVD-2017-05572分别对应CVE-2017-1000353、CVE-2017-1000354、CVE-2017-1000355、CVE-2017-1000356)。攻击者利用上述漏洞,可在受影响的应用程序的上下文中执行任意代码、冒充Jenkins用户或造成Jenkins服务器拒绝服务等威胁。 一、漏洞情况分析Je…

    威胁预警 2017年5月1日
  • 4·29|第四届首都网络安全日:共享网络安全福祉

    4月27日上午,在习近平总书记“4.19”重要讲话发表一周年之际,第四届首都网络安全日在北京展览馆正式拉开帷幕。本届活动由市委网信办和市公安局联合主办,于4月26日至28日在北京展览馆连续举办三天。在市委、市政府的统一领导下,主办方准确把握首都“科技创新中心”工作定位,坚持“政府主导、社会联动、广泛参与、全面宣传”的工作原则,围绕“网络安全同担,网络生活共享”的主题,科学总结历史贡献,延续“清朗行动”“四大工程”“艾特计划”等活动框架,立足2017年《网络安全法》的贯彻实施,集合政府、企业、社会…

    行业动态 2017年4月27日
  • 习近平419讲话一周年|焦点访谈: 如何让网更能 更强 更安

    今天的互联网越来越成为人们学习、工作、生活的新空间,也越来越成为获取公共服务的新平台。但人们对于网络信息却是情感复杂:是又爱又怕又恨。爱它便捷,怕它闯祸,恨它无序。一年前的今天,习近平总书记在北京主持召开网络安全和信息化工作座谈会,会议对网信工作存在的问题进行了梳理,研究了对策,明确了改进方向。一年过去了,各地、各部门和各行业在网信工作上积极推进。 田女士是一家能源公司的工作人员,这天,她来银川市的行政审批服务局办工商变更登记,她把资料提交半个小时后就领到了新证件。 此前,在银川,工商营业执照、…

    行业动态 2017年4月26日
  • MySQL中危中间人攻击Riddle漏洞

    漏洞描述:Riddle是一个在Oracle MySQL 5.5和5.6客户端数据库中发现的安全漏洞。允许攻击者在中间人位置使用Riddle漏洞破坏MySQL客户端和服务器之间的SSL配置连接。当MySQL5.5和5.6向服务器发送数据,包括用户名密码时,攻击者可以捕获它们。针对5.5.49、5.6.30版本的安全更新并没有完全修复漏洞。5.7版本之后以及MariaDB系统没有受到漏洞影响。 影响版本:MySQL 5.5和5.6 漏洞等级:中危修复建议:升级MySQL至5.7版本 了解更多http…

    威胁预警 2017年4月20日
  • Oracle发布2017年4月的安全公告

    安全公告编号:CNTA-2017-0031 4月17日,Oracle发布了2017年4月份的安全更新,修复了其多款产品存在的299个安全漏洞。受影响的产品包括Oracle数据库(2个)、Oracle Secure Backup数据库安全备份(1个)、中间件产品Fusion Middleware(31个);企业管理器网格控制产品Oracle Enterprise Manager Grid Control(2个)、电子商务套装软件OracleE-Business Suite(11个)、供应链套装软件…

    威胁预警 2017年4月20日
  • Microsoft发布2017年4月安全更新

    安全公告编号:CNTA-2017-0027 4月11日,微软发布了2017年4月份的月度例行安全公告,修复了其多款产品存在的174个安全漏洞。受影响的产品包括Windows 10(68个)、Windows 10/Server 2016(24个)、Windows 8.1/Server 2012 R2(24个)、Windows Server 2012(18个)、Windows 7/Server 2008 R2(15个)、Windows Vista/Server 2008(11个)、Internet …

    威胁预警 2017年4月20日
  • 电商网站会存在哪些安全隐患

    在电商的研发体系中有一个叫做“风控”的部门,整个部门负责保障整个网站的安全、可靠。是一个比较神秘的组织,每天需要与形形色色的黑客、黄牛斗智斗勇。 那么一个电商网站会存在哪些安全隐患呢? 1.数据的泄露 数据的重要性不言而喻,尤其是电商的数据,包含了个人信息(姓名、性别、收货地址、电话)以及购物信息,还是比较敏感的,现在国内比较大的电商平台都在搞大数据,可以算出每个用户的喜好是什么,根据每个人的不同喜好做定制的推送。甚至像阿里、京东在搞的金融业务,背后也是依赖这些常年积累下来的用户数据,基于这些数…

    技术分享 2017年4月19日
  • 沃通和StartCom颁发的证书不再被信任

    GitHub安全团队称沃通在没有得到他们授权的情况下签发了一个GitHub的证书。这促使GitHub安全团队和Mozilla合作对沃通进行了调查,发现了沃通的若干违规签发证书的问题。该调查表明沃通有意地规避了浏览器限制(即对SHA-1 签名证书的失效计划)和对CA的要求。更进一步的,还发现了另外一家CA公司StartCom也被沃通秘密收购,这违反了CA公司被收购需要披露信息的要求。而且,沃通公司还替换了原StartCom的基础设施、人员、政策和签发系统。面对这种情况,沃通和StartCom管理层还尝试误导,这两个公司之间的收购事实。

    行业动态 2017年4月19日
  • Karmen勒索软件在暗网售卖,收到勒索金后会自我删除

    Karmen活跃于2016年12月份左右,当时出现在德国和美国的安全事件中。不过直到3月份它才在暗网论坛广告中现身。研究人员分析后认为Karmen衍生自开源勒索软件Hidden Tear,使用的是AES-256加密协议,加密目标是本地机器上的目标文件。

    行业动态 2017年4月19日
  • Github企业版SQL 注入

    GitHub Enterprise 是一款 GitHub.com 所出品,可將整個 GitHub 服務架設在自身企業內網中的應用軟體。有興趣的話你可以從 enterprise.github.com 下載到多種格式的映像檔並從網頁上取得 45 天的試用授權!安裝完成後,你應該會看到如下的畫面

    技术分享 2017年4月19日