资讯月刊下载

第121期(18-03)

2018年03月 - 总第121期
  • Java程序员开发常用的工具
  • 3月全球数据库排名:PostgreSQL 再迎暴涨
点击下载>>

第120期(18-02)

2018年02月 - 总第120期
  • 开源巨献:2017 年 Google 开源了这些超赞的项目
  • 关于区块链,程序员需要了解什么
点击下载>>

第119期(18-01)

2018年01月 - 总第119期
  • 编写高性能Java代码的最佳实践
  • 从15000个Python开源项目中精选的Top30,Github平均star为3707,赶紧收藏!
点击下载>>

更多月刊下载

活跃编辑

范凯
hantsy

资讯编辑

web前端

企业架构

ITeye小编

其他专家

进入编辑列表

漏洞

原创新闻 [开源软件] Java 7爆最新漏洞,10年前的攻击手法仍有效

据SECLISTS透露,他们发现新的Reflection API在引进Java SE 7时并未经过非常安全的复查,并且存在着一个非常大的漏洞。 该漏洞可以允许黑客利用10年前便广为人知的手法来攻击Java虚拟机。Java SE 7中的Reflection API并未采取应有的保护机制来防堵该攻击。 SECLISTS公司关于该漏洞的概念验证代码在Java SE 7 Update 25 (1.7.0_ ...
java oracle 漏洞
mengyidan1988 评论(6) 有10162人浏览 2013-07-19 5 1

原创新闻 [编程语言] Java 7u25发布,修复37个关键漏洞

甲骨文今天发布了Java 7u25版本,这是Java采用新的版本号命名方式后的首个关键补丁更新(CPU)版本。 该版本修复了40个安全漏洞,其中的37个漏洞可被远程利用,而无需用户名和密码。 受影响版本 JDK 和JRE 7 Update 21 及之前版本 JDK 和 JRE 6 Update 45及之前版本 JDK 和 JRE 5.0 Update 45及之前版本 JavaFX 2.2.2 ...
Java 安全 jdk jre 漏洞
wangguo 评论(3) 有10964人浏览 2013-06-19 7 0

原创新闻 [企业架构] Apache Struts2 再现漏洞

Apache Struts团队上周刚修复了一个潜在的远程命令执行漏洞,今天再次发布新版本2.3.14.3,修复了另一个重要的安全漏洞。 Struts框架允许基于通配符的动作映射,且当一个请求不匹配动作时,会尝试加载一个基于动作名称的JSP文件。由于动作名称中可以嵌入OGNL表达式,因此这有可能导致攻击者在服务器端执行Java代码。 在新版本中,可以检查动作名称是否匹配正则表达式[a-z]*[A- ...
struts apache SSH 安全 漏洞
wangguo 评论(16) 有25560人浏览 2013-06-06 13 1

原创新闻 [互联网] 谷歌玩真的?披露Windows“零日漏洞”

谷歌上月底曾表示,在发现零日漏洞并告知相关开发商后,如果7天内还没有修复或告知用户防护措施,那么就支持发现漏洞者公布相关细节,以使用户自己想办法避免遭到攻击。 而近日,谷歌安全专家Tavis Ormandy在发现Windows中存在的一个提权漏洞,他并没有报告给微软,反而是在Full Disclosure邮件列表中公布了相关细节,现在他又在同样的地方公布了利用漏洞的方式。 该漏洞存在于Windo ...
Google 微软 漏洞 Windows
wangguo 评论(12) 有11942人浏览 2013-06-05 13 0

原创新闻 [互联网] 谷歌:“零日漏洞” 7 天不修复就公布细节

谷歌安全工程师Chris Evans和Drew Hintz近日在官方博客中表示,如果发现一些软件中的零日漏洞(指厂商还未修复的未知漏洞)被广泛利用,而相关供应商在7日内还未修复或采取进一步行动,谷歌将披露这些漏洞的相关细节,让用户自己采取措施。 一直以来,谷歌如果发现一些被利用的零日漏洞,会立即向受影响的供应商报告,并与他们合作,使问题得以尽快解决。谷歌建议企业应该在这些漏洞发现后的60天内修 ...
安全 漏洞 零日漏洞 谷歌 XSS
wangguo 评论(7) 有9612人浏览 2013-05-31 2 1

原创新闻 [企业架构] Apache日志文件漏洞,可控制服务器

全球使用最广泛的Web服务器Apache近日被爆出了一个安全漏洞,该漏洞可能导致攻击者控制服务器。 该漏洞包含在mod_rewrite 模块中的do_rewritelog()日志函数中。由于该函数还无法完全过滤写入日志文件中的数据,攻击者可以使用特定的HTTP请求将转义序列注入到日志文件中,即有可能在无需取得管理员授权的情况下是服务器执行任意命令。 该漏洞主要影响2.2.x分支,其他分支也有可能 ...
apache 服务器 安全 漏洞 日志
wangguo 评论(7) 有11767人浏览 2013-05-31 6 1

原创新闻 [编程语言] Rails 老漏洞仍在肆虐,请尽快升级

安全专家Jarmoc在博客中称,过去几天,一些基于Rails的Web应用程序和服务器遭到了攻击,攻击者成功入侵后,会在服务器上安装一个机器人,以接受来自IRC频道的进一步指示。 攻击者利用的是CVE-2013-0156这个安全漏洞,尽管Rails团队已经在今年1月份修复了该漏洞,但目前还有大量的服务器未更新至最新的版本,使得攻击者有机可乘。 该漏洞存在于Action Pack模块的参数解析代码中 ...
rails ruby 漏洞 安全
wangguo 评论(4) 有10310人浏览 2013-05-30 1 0

原创新闻 [编程语言] Ruby 安全漏洞,1.9/2.0 全分支受影响

Ruby开发团队今天发布了两个更新版本Ruby 1.9.3-p429和Ruby 2.0.0-p195。 这两个版本主要修复了Ruby DL / Fiddle中的一个安全漏洞: 引用对象污染绕过漏洞(CVE-2013-2065):受污染的字符串可以通过系统调用来使用,而不受Ruby中$SAFE级别设置约束。 受影响的版本: Ruby 1.9.3 p426之前的所有1.9.x版本 Ruby 2 ...
ruby 安全 漏洞
wangguo 评论(1) 有8439人浏览 2013-05-15 1 1

原创新闻 [开源软件] 开源软件质量报告:连续两年高于行业平均值

开发测试服务提供商Coverity近日发布了一份开源软件质量报告——《2012 Coverity Scan Open Source Report》。 该项研究始于2006年,最初由Coverity公司和美国国土安全部合作进行,旨在研究开源软件的完整性,现在由Coverity公司负责进行。 Coverity的扫描报告已经成为了一个衡量开源软件质量状态的被广泛接受的标准,在过去的7年时间,Cover ...
开源 质量 漏洞 报告 测试
wangguo 评论(1) 有9003人浏览 2013-05-08 1 0

原创新闻 [编程语言] Java 再爆漏洞,服务器环境受影响

位于波兰的安全研究公司Security Explorations声称,他们已经在最新的JRE桌面和服务器版本中发现了新的安全漏洞。 Security Explorations 公司CEO Adam Gowdiak在一封邮件中表示,该漏洞位于Java的反射API组件中,利用该漏洞可以完全绕过Java安全沙箱,在计算机上执行任意代码。该漏洞影响所有Java 7版本,包括甲骨文公司上周刚刚发布的Jav ...
java 安全 漏洞 甲骨文 jre
wangguo 评论(11) 有11082人浏览 2013-04-24 8 1

原创新闻 [数据库] PostgreSQL安全更新,请立即升级

上周,PostgreSQL官方声称在所有PostgreSQL版本中发现了严重的安全漏洞,并锁定了代码库。 按照既定计划,PostgreSQL官方在4月4日放出了修复版本——9.2.4、9.1.9、9.0.13和8.4.17,强烈建议所有用户立即升级至这些版本。 这些版本主要修复的高危安全漏洞: CVE-2013-1899:如果攻击者在连接请求中包含以“-”开头的数据库名称,则可能会破坏服务 ...
postgresql 安全 漏洞
wangguo 评论(4) 有6724人浏览 2013-04-07 4 0

原创新闻 [编程语言] Java再爆漏洞,甲骨文紧急修复

Java日前再被爆出重要安全漏洞,使得甲骨文不得不紧急发布补丁,以避免漏洞造成更大的危害。 甲骨文此次发布的补丁主要解决了CVE-2013-1493和另外一个影响浏览器中Java Applet的漏洞。攻击者可利用这些漏洞远程执行任意代码,鉴于漏洞的危害程度,甲骨文公司强烈建议用户尽快升级。 不过,这些漏洞对服务器中运行的Java应用、独立的Java桌面应用以及嵌入式Java应用没有影响。 受影 ...
java 安全 漏洞 甲骨文
wangguo 评论(17) 有9427人浏览 2013-03-05 14 0

原创新闻 [互联网] 你的网站有多安全?

安全问题威胁着所有Web应用程序和网站,其中XSS(跨站脚本攻击)、SQL注入最为常见。开发者一旦忽视了这一方面,有可能会造成严重的后果。 开发者可通过Punkspider来检测自己的Web应用程序(网站)中是否存在安全隐患。Punkspider是一个全球性的Web应用程序漏洞扫描引擎,可以告知开发者某个Web应用或网站中存在的安全漏洞。该引擎的原理是,利用一个可扩展的Hadoop集群,使用许多并 ...
Punkspider web 安全 漏洞 xss
wangguo 评论(3) 有9682人浏览 2013-02-26 13 1

原创新闻 [编程语言] 甲骨文最后一次升级Java 6

随着Java中存在的安全漏洞波及范围越来越大,甲骨文在本月初就提前发布了2月份重要补丁集。 但是,这个补丁集似乎并没有完全修补目前发现的所有安全漏洞。Twitter、Facebook、苹果公司相继透露,公司内部系统遭到恶意攻击,而黑客所利用的就是Java漏洞。 甲骨文今天再次针对Java 6、7分支发布更新补丁,包含在最新的Java 7u15和6u41版本中。 普通桌面用户可通过java.c ...
java jdk 安全 漏洞
wangguo 评论(12) 有9465人浏览 2013-02-20 9 0

原创新闻 [编程语言] Rails 3.2.12/3.1.11/2.3.17安全修复版本发布

Rails开发团队近日发布了三个安全更新版本,分别为3.2.12、3.1.11和2.3.17。这些版本均修复了一些重要的安全漏洞,漏洞说明如下: 1. CVE-2013-0276 该漏洞存在于ActiveRecord的attr_protected方法中,该方法允许开发人员指定一个不允许分配模型属性的用户黑名单。攻击者可以利用存在的漏洞绕过这种保护。开发者可以考虑将attr_protected切换 ...
rails ruby 漏洞 安全
wangguo 评论(0) 有5476人浏览 2013-02-17 0 0

原创新闻 [数据库] MariaDB各分支更新,修复安全漏洞

在2012年12月,MySQL爆出了一些安全漏洞。其克隆版本MariaDB也不能幸免,12月份爆发漏洞时,MariaDB开发者紧急处理了两处漏洞,而现在,开发者解决了剩余的其他问题,并针对各分支发布了更新版本。 新版本修复的安全问题包括: CVE-2012-5627:这是一个老的安全问题,允许现有凭证用户对其他用户执行暴力攻击。该问题已经通过在用户账户变更处理过程中添加一个延迟来修复了。 C ...
MariaDB MySQL 安全 漏洞
wangguo 评论(0) 有5556人浏览 2013-02-04 0 0

原创新闻 [编程语言] 甲骨文发布2月份安全补丁集,修复Java漏洞

2012下半年,Java安全漏洞事件闹得沸沸扬扬,该漏洞主要影响桌面浏览器的Java插件,苹果甚至在Mac OS X中移除了Java插件。 甲骨文公司也因此加快了安全补丁的更新速度。今天,甲骨文针对JavaSE发布了的2013年2月重要补丁集。 该补丁集共修复了50个安全漏洞,甲骨文强烈建议用户尽快进行升级。 详细信息:February 2013 Critical Patch Update ...
Java 甲骨文 安全 漏洞
wangguo 评论(2) 有7118人浏览 2013-02-03 10 0

原创新闻 [编程语言] Rails 安全漏洞不断,一月修补三次

Ruby on Rails框架开发团队本周一发布了3.0.20和2.3.16两个版本,主要修复了一个关键的远程代码执行漏洞。 这是本月内Rails的第3次安全升级,Rails开发团队在博客中称该安全漏洞“极度危急”,建议3.0.x和2.3.x分支上的所有用户立即更新。较新的3.1.x和3.2.x中分支不受此漏洞的影响。 根据相应的安全通告显示,新版本修复了Rails JSON代码中的一个漏洞, ...
rails ruby 安全 漏洞
wangguo 评论(3) 有5511人浏览 2013-01-30 1 0

原创新闻 [编程语言] 甲骨文谈 Java 安全问题

前段时间,Java被曝出多个安全漏洞,攻击者可以利用这些漏洞远程控制用户的电脑。 除了发布补丁外,甲骨文公司此前一直保持沉默。近日,该公司Java安全部门负责人Martin Smith在一次电话会议上讨论了这些安全问题。 Martin表示,我们肯定会解决Java安全问题的,并且我们已经这样做了。他指的是,甲骨文在本月发布的Java 7u10和7u11更新版本,该版本修复了之前曝出的多个安全漏洞 ...
java 浏览器 安全 漏洞
wangguo 评论(4) 有7302人浏览 2013-01-29 3 0

原创新闻 [编程语言] Ruby on Rails 再爆严重安全漏洞

Ruby on Rails近日被发现了两个新的安全漏洞。 1. CVE-2013-0156 该漏洞存在于Action Pack模块的参数解析代码中,允许攻击者绕过认证系统,注入并执行任意SQL代码,或对Rails应用执行DoS攻击。 受影响版本:所有版本 修复版本:3.2.11、3.1.10、3.0.19、2.3.15 2. CVE-2013-0155 当Active Record与JSO ...
rails ruby 安全 漏洞 SQL注入
wangguo 评论(0) 有6711人浏览 2013-01-10 0 1

最近热门TAG

Java(1854) Google(1441) Android(1244) JavaScript(842) Web(669) Linux(648) 框架(605) Windows(591) 浏览器(540) HTML5(533) Firefox(483) jQuery(480) iOS(479) Ruby(427) Chrome(386) HTML(380) 编程(365) 工作(349) Apache(346) Python(328)

热门资讯

Global site tag (gtag.js) - Google Analytics