【高危安全通告】Windows SMBv3 远程代码执行漏洞(CVE-2020-0796)

近日,国外厂商发布了一个 Windows Smbv3 的0day, 该漏洞尚未在微软本月补丁日出现,漏洞评级为最高等级, 本通报发布之时(2020.03.11)未发现官方相关漏洞补丁发布。经过分析,该漏洞是利用Microsoft SMB服务器中的缓冲区溢出漏洞进行攻击。SMBv3 协议在处理使用压缩的数据包时存在漏洞,远程且未经授权认证的攻击者通过利……

【高危安全通告】Microsoft Exchange远程代码执行漏洞通告(CVE-2020-0688)

Microsoft Exchange Server是微软公司的一套电子邮件服务组件。除传统的电子邮件的存取、储存、转发作用外,在新版本的产品中亦加入了一系列辅助功能,如语音邮件、邮件过滤筛选和OWA(基于Web的电子邮件存取)。Exchange Server支持多种电子邮件网络协议,如SMTP、NNTP、POP3和IMAP4。Exchange Server能够与微软公司的……

【安全研究】OpenSNS部分漏洞梳理与探究

声明! 本文仅供学习和研究,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海青实验室及文章作者不承担任何责任。 安全狗海青实验室拥有此文章的修改和解释权,如欲转载或传播,必须保证此文的完整性,包括版权声明在内的全部内容,未经海青实验室同意,不得任意修……

【高危安全通告】Apache Tomcat 文件包含漏洞(CVE-2020-1938)

Apache与Tomcat都是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。 Apache Tomcat 服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。漏洞原因是由于Apache Tomcat AJP 协议不安全权限……

【高危安全通告】SQL Server Reporting Services

2月11日,微软发布了2月份安全更新补丁,修复其中一个SQL Server Reporting Services的远程代码执行漏洞(CVE-2020-0618)。 Microsoft SQL Server Reporting Services在处理Web请求时存在远程代码执行漏洞,成功利用漏洞能获取SQL Server Reporting Services管理权限或系统管理权限。 目前,互联网上已经公开了漏……

【抗疫专题】远程办公依靠良好安全习惯就够了吗?

受新型冠状病毒肺炎疫情的影响,多个省市出台规定宣布推迟复工时间,在家远程办公模式成为了众多单位的选择。 远程办公模式在为我们提供方便的同时,也带来了一些问题,安全性就是影响远程办公的重要因素之一。非专用的办公设备、非专用的网络环境,大规模人员的远程办公带来的安全风险成为我们急需关注和解决的……

【高危安全通告】Windows CryptoAPIlo欺骗漏洞(CVE-2020-0601)

微软本周二发布了2020年的第一个补丁集,其中包含一个更新,用于更新版本的Windows(包括Windows 10和Windows Server 2016/2019)中的加密库中的关键漏洞。其中的CVE-2020-0601漏洞是Windows密码库中的一个非常严重的缺陷,我们建议用户尽快修复。 微软已经发布了针对CVE-2020-0601的软件更新。 补丁下载地址……

细说资产梳理和漏洞运营里无法言喻的“难”

早几年里,企业的安全运营人员面对机房里的资产管理还能从容应对。如今,如果对资产管理的重视程度和运营方式还停留在以前的水平,迟早会成为黑客的下一个目标。 在网络安全建设的过程中,资产梳理和漏洞运营作为其中的关键环节,常常遇到诸多挑战。 由于内部信息化业务发展迅速,云资产剧增,企业内……

安全狗“云”亮相ISC2020 深入解读云工作负载安全(CWPP)

2020年8月19日,第八届互联网安全大会(ISC2020)的安全服务论坛圆满举行。 作为全球网络安全圈的最大盛会之一,ISC大会已举办过14场国际安全领袖峰会,展开超过100次的顶级安全智库对话,已成为全球性的网络安全发展趋势风向标。 安全狗作为国内最早引入云工作负载安全(CWPP)概念,并成功构建相应产品线的专业……

数世咨询创始人对话安全狗CEO:CWPP在国内市场需求的发展方向

近日,2020安全狗工作负载(主机)4.0产品线上发布会成功举办。在发布会的压轴环节,数世咨询创始人李少鹏与安全狗CEO陈奋、解决方案总监蒋竞阳进行了精彩的圆桌访谈,对话中不仅对本次发布会的主题“攻防在即,构建最后一道防线”作了解读,还比较详尽地就CWPP在国内市场需求的发展做了深入探讨。 李:对于一个第三方……