漏洞描述 CUPS 是一个默认集成于诸多 Linux 发行版的开源打印系统，而 cups-browsed 包含网络打印功能，包括但不限于自动发现打印服务和共享打印机。 cups-browsed 默认监听 631 端口，由于受影响版本的 cups-browsed 未对数据包做校验，导致未授权攻击者可...

Maccy 是一款用于 Mac 平台的剪贴板管理器，具有现代化 UI 和极其轻量的体积其安装包大小仅为 2.2MB。 之所以能做到如此轻量离不开它的极简功能。 正如开发者所描述， Maccy 是一个剪贴板管理器，只专注做一件事，那就是 让用户随手保存复制历史 ，仅此而已...

漏洞描述 Spring Framework 是一个广泛使用的开源 Java 企业级应用框架。 受影响版本中当应用程序使用 RouterFunctions 来处理静态资源且资源处理通过 FileSystemResource 进行配置时，攻击者可以通过构造恶意 HTTP 请求，利用路径遍历漏洞获取文件系统中的任...

AES加密算法（Advanced Encryption Standard，高级加密标准）是一种对称加密算法，由美国国家标准与技术研究院（NIST）于2001年发布，用于替代早期的数据加密标准（DES）。AES算法使用的密钥长度可以是128位、192位或256位，其中128位密钥长度最为常用。 AES...

修复 Linux 操作系统中的溢出漏洞通常涉及以下步骤： 更新操作系统：确保操作系统的补丁和更新程序已经安装。Linux 发行版通常提供自动更新机制，可以使用操作系统自带的包管理器或者更新工具来更新操作系统。 更新软件和应用程序：及时更新软件和应用程序，...

漏洞描述 Apache Dolphinscheduler 是开源的分布式任务调度系统。 受影响版本中，由于 HttpTaskDefinitionParser 类未对用户可控的 yaml 文件有效过滤，当解析攻击者构造的恶意配置文件 (如执行 Kubernetes Job) 时会造成 SnakeYaml 反序列化漏洞，攻击者可利...

腾讯宣布开源 BqLog，一个源于《Honor Of Kings》（王者荣耀国际服）的，轻量级、跨平台、高性能的日志组件。由 C++ 实现，同时支持 Java，C# 的调用。可以用于 Unreal、Unity 等游戏引擎，也能用于 Android、IOS 环境下的 App。在 Windows、Mac、Linux 等的...

苹果公司发布了新的开源 Swift 工具库，以便开发者使用 Swift 实现同态加密 (swift-homomorphic-encryption)，此举标志着苹果在数据隐私保护方面迈出了重要一步。 开发文档：https://developer.apple.com/documentation/sms_and_call_reporting/getting_up-to...

IntelliJ IDEA 2024.2 现已发布。此版本增强了对 Spring Data JPA 的支持，简化了 cron 表达式管理，并使用 GraalJS 引擎升级了 HTTP 客户端。启动效率得到提升，新版本还集成了 K2 模式（Beta），以提高 IDE 的性能和 Kotlin 稳定性。 一些更新亮点具体包括...

漏洞描述 Windows 远程桌面授权服务是用于管理和分发远程桌面服务（RDS）客户端访问许可证（CALs, Client Access Licenses）的工具，通常和启用远程桌面服务同时启动。 受影响版本的 Windows 远程桌面许可服务中 CDataCoding::DecodeData 函数用于管理连接到...

curl 8.4.0 已正式发布，创始人 Daniel Stenberg（社区称号 bagder）已提前一周预告了该版本 修复高危安全漏洞，并称该漏洞可能是很长一段时间以来 curl 遇到的最严重漏洞，同时影响到 libcurl 库和 curl 工具。 根据介绍，这个高危漏洞是 SOCKS5 堆溢出漏洞...

RKHunter简介 RKHunter是专业检测系统是否感染rootkit的一个工具，它通过执行一系列的脚本来确认服务器是否已经感染rootkit。在官方资料中，RKHunter可以做的事情有： MD5校验测试，检测文件是否有改动 检测rootkit使用的二进制和系统工具文件 检测特洛伊木...

1. Nishang 如果喜欢用PowerShell，那么可以试试Nishang。Nishang是有效负载与脚本的结合，可以用PowerShell来进行渗透式、攻击性安全、以及红队测试。测试人员可以在当前渗透测试的各个阶段使用到该工具。 2. Taipan Taipan是自动化的Web应用类漏洞扫描程序...

漏洞描述 QEMU 是开源的通用模拟器和虚拟机，virtio-crypto 是 QEMU 中提供的虚拟加密设备。 QEMU 受影响版本中，在 virtio_crypto_handle_sym_req () 处理数据对称加解密请求时，由于 virtio_crypto_sym_op_helper () 中未校验 src_len 和 dst_len 的值，当...

云计算巨头亚马逊 AWS 宣布将从明年开始对 IPv4 公网地址收费，鼓励用户使用 IPv6 地址。原因是 IPv4 地址日益稀缺，获取的成本在增加。 从 2024 年 2 月 1 日开始，对于所有 IPv4 公网地址，AWS 将对每个地址每小时收 $0.005（每个 IP 每小时 0.005 美元），...

漏洞描述 Confluence 是由 Atlassian 开发的知识管理与协同软件，通常在企业内部用作 wiki 系统。 Confluence 7.19.8 到 8.2.0 之前的版本中存在远程代码执行漏洞，具有登录权限的攻击者无需用户交互即可在 Confluence 服务器中执行任意命令。 漏洞类型 代码...

Amazon Web Services (AWS) 在北美开源峰会上宣布，开源 Cedar 和SnapChange 两个项目；旨在解决围绕软件供应链安全的问题。AWS 开源营销总监 David Nalley表示，这两个项目都是 AWS 为开源社区贡献知识产权的持续努力的一部分。 根据介绍，Cedar 是一种将权...

漏洞描述 GitLab 是一款基于 Git 的代码托管、版本控制、协作开发平台。 GitLab CE/EE 15.4 至 15.9.6 版本，15.10 至 15.10.5 版本和 15.11 至 15.11.1 版本存在代码执行漏洞。在某些条件下，实例上的任何 GitLab 用户都可以使用 GraphQL 端点将恶意运行程...

漏洞描述 VMware Aria Operations for Logs 前身是 vRealize Log Insight，VMware 用于处理和管理大规模的日志数据产品。 VMware Aria Operations for Logs 8.10.2 版本中存在反序列化漏洞，具有 VMware Aria Operations for Logs 网络访问权限的未经身份验...

漏洞描述 GitLab 是一个基于 Git 的代码托管和协作平台。 GitLab EE/CE 从 11.5 到 15.8.5、从 15.9 到 15.9.4，以及从 15.10 到 15.10.1 版本中存在信息泄露漏洞，具有管理员权限的攻击者可以利用该漏洞获取仓库 (repository) 镜像配置中的密码。 漏洞名称...

漏洞描述 mod_auth_openidc 是 Apache 2.x HTTP 服务器的身份验证和授权模块，实现了 OpenID Connect Relying Party 单点登录功能，OIDCStripCookies 用于从 OpenID Connect 授权令牌中移除指定的 Cookie。 mod_auth_openidc 受影响版本中由于 mod_auth_open...

漏洞描述 Redis 是一个开源的、可基于内存、分布式、可选持久性的键值对 (Key-Value) 存储数据库，Redis Msetnx 命令用于当给定 key 不存在时同时设置一个或多个 key-value 对。 受影响版本中当 MSETNX 命令中两次使用相同的键将触发断言，通过 Redis 身份认...

根据《纽约时报》的报道，一份法律文件显示，Twitter 称其部分源代码在网上被泄露，该公司已于上周五采取行动，它通过向托管代码的 GitHub 发送版权侵权通知，删除了被泄露的代码。 文件显示 Twitter 还要求美国加利福尼亚州北区地方法院 命令 GitHub 识别共...

2021年12月7日，阿里云应急响应中心监测到 CVE-2021-43798Grafana plugin 任意文件读取漏洞。 漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。2021年12月6日，...

0x01 漏洞描述 Grafana 是 Grafana 实验室的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析 Graphite、InfluxDB 和 Prometheus 等。 Grafana 存在授权问题漏洞，该漏洞源于在受影响的版本中，未经身份验证和身份验证的用户都可以通过访问...

CeresDB 是一款高性能、分布式的云原生时序数据库，采用 Rust 编写。其开发团队近日宣布：经过近一年的开源研发工作，时序数据库 CeresDB 1.0 正式发布，达到生产可用标准。 CeresDB 1.0 官方中文文档：https://docs.ceresdb.io/cn/ CeresDB 1.0 核心特性介绍...

漏洞描述 Jenkins 是一款 Java 编写的集成工具。 该项目受影响版本存在存储型 XSS 漏洞。该漏洞是由于在呈现插件版本与 Jenkins plugin manager 版本不兼容的错误信息时没有进行转义。 攻击者可向 Jenkins 实例中配置的更新站点提供插件，当 Jenkins 实例加...

漏洞描述 GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。 在受影响版本内，攻击者可以将精心制作的 CI job 组件打成 zip 文件上传到子项目中，导致 sidekiq 「异步执行」job 分配大量内存，从而导致拒绝服务。 漏洞名称 GitLab 存在拒绝服务...