4月9日热点 - 新型macOS后门程序浮出水面,被指与黑客组织“海莲花”有关联

360-CERT 每日安全简报 2018-04-09 星期一

【漏洞】

1.CVE-2018-1308:通过Apache Solr的DIH的dataConfig请求参数进行XXE攻击
http://t.cn/RmVoqjM

 

2.CVE-2018-2767:MySQL&MariaDB:BACKRONYM漏洞允许SSL/TLS通讯降级
http://t.cn/RAmN56a

 

3.Debian信息泄漏和未经授权的访问设备漏洞
http://t.cn/RmcMrOz

 

4.Auth0是最大的身份即服务平台之一,受到严重身份验证绕过漏洞的影响
http://t.cn/RmVyRpv

 

5.在4.3.4之前的Iptanus WordPress文件上传插件不适用于WordPress错误处理设置属性,导致XSS。
http://t.cn/RmVoIH4

 

【安全事件】

1.思科Talos表示关键基础设施遭攻击和Smart Install protocol Misuse漏洞有关
http://t.cn/Rm51HPg

 

【安全资讯】

1.Bing Chrome下载广告推广Adware/PUP安装程序
http://t.cn/RmVo66l

 

2.新型macOS后门程序浮出水面,被指与黑客组织“海莲花”有关联
http://t.cn/RmVoSGo

 

【安全研究】

1.CVE-2018-1270:spring-messaging 远程代码执行漏洞分析
http://t.cn/Rm5gSOI

 

2.AutoSploit是一款以Python编码的自动化大规模开发工具
http://t.cn/RmVoC2o

 

3.goGetBucket – 一种渗透测试工具
http://t.cn/RmVoNtF

 

4.结构化文本工具
http://t.cn/Rqn5exW

 

【恶意软件】

1.特斯拉间谍软件的新变种被Fortinet的专家发现,恶意软件已经通过武器化的微软Word文档传播开来。
http://t.cn/RmttkmP

【以上信息整理自 https://cert.360.cn/daily

360CERT全称“360 Computer Emergency Readiness Team”,我们致力于维护计算机网络空间安全,是360基于”协同联动,主动发现,快速响应”的指导原则,对全球重要网络安全事件进行快速预警、应急响应的安全协调中心。

微信公众号:360cert

(完)