360-CERT 每日安全简报 2018-04-09 星期一
【漏洞】
1.CVE-2018-1308:通过Apache Solr的DIH的dataConfig请求参数进行XXE攻击
http://t.cn/RmVoqjM
2.CVE-2018-2767:MySQL&MariaDB:BACKRONYM漏洞允许SSL/TLS通讯降级
http://t.cn/RAmN56a
3.Debian信息泄漏和未经授权的访问设备漏洞
http://t.cn/RmcMrOz
4.Auth0是最大的身份即服务平台之一,受到严重身份验证绕过漏洞的影响
http://t.cn/RmVyRpv
5.在4.3.4之前的Iptanus WordPress文件上传插件不适用于WordPress错误处理设置属性,导致XSS。
http://t.cn/RmVoIH4
【安全事件】
1.思科Talos表示关键基础设施遭攻击和Smart Install protocol Misuse漏洞有关
http://t.cn/Rm51HPg
【安全资讯】
1.Bing Chrome下载广告推广Adware/PUP安装程序
http://t.cn/RmVo66l
2.新型macOS后门程序浮出水面,被指与黑客组织“海莲花”有关联
http://t.cn/RmVoSGo
【安全研究】
1.CVE-2018-1270:spring-messaging 远程代码执行漏洞分析
http://t.cn/Rm5gSOI
2.AutoSploit是一款以Python编码的自动化大规模开发工具
http://t.cn/RmVoC2o
3.goGetBucket – 一种渗透测试工具
http://t.cn/RmVoNtF
4.结构化文本工具
http://t.cn/Rqn5exW
【恶意软件】
1.特斯拉间谍软件的新变种被Fortinet的专家发现,恶意软件已经通过武器化的微软Word文档传播开来。
http://t.cn/RmttkmP
【以上信息整理自 https://cert.360.cn/daily 】
360CERT全称“360 Computer Emergency Readiness Team”,我们致力于维护计算机网络空间安全,是360基于”协同联动,主动发现,快速响应”的指导原则,对全球重要网络安全事件进行快速预警、应急响应的安全协调中心。
微信公众号:360cert