每日安全动态推送(3-14)

渗透技巧 1年前 (2023) admin

325 0 0

Tencent Security Xuanwu Lab Daily News

• CVE-2023-23638: Apache Dubbo Deserialization Vulnerability Gadgets Bypass:
https://seclists.org/oss-sec/2023/q1/133

・ dubbo泛型调用存在反序列化漏洞，可导致恶意代码执行。该问题影响Apache Dubbo 2.7.x 2.7.21及之前版本；Apache Dubbo 3.0.x 版本 3.0.13 及之前版本；Apache Dubbo 3.1.x 版本 3.1.5 及之前的版本。” – SecTodayBot

• Highlights from the New U.S. Cybersecurity Strategy:
https://krebsonsecurity.com/2023/03/highlights-from-the-new-u-s-cybersecurity-strategy/

・白宫新的国家网络安全战略要求立法为销售时几乎不考虑安全性的软件产品和服务确立责任。该战略还设想云提供商和美国军方在破坏网络犯罪基础设施方面发挥更积极的作用。根据该战略，中国是美国面临的最大网络威胁。 – SecTodayBot

• 重大供应链威胁！这个 Java 开源框架存在严重漏洞 – FreeBuf网络安全行业门户:
https://www.freebuf.com/news/359129.html

・广泛使用的 Java 框架中的一个严重漏洞已被攻击者利用。专家表示，这种情况可能会对未打补丁的软件构成重大的供应链威胁。CVE-2022-36537 影响 ZK Java Web Framework 版本 9.6.1、9.6.0.1、9.5.1.3、9.0.1.2 和 8.6.4.1。 – SecTodayBot

• 黑客背后的猎人:
https://paper.seebug.org/2053/

・知道创宇团队通过扫描公网上开放的HTTP服务，找到包含攻击工具的“黑客”工作机，并发现互联网上已经存在这样窃取黑客工作成果的“猎人”。 – P4nda

• UAF in OpenSSL up to 3.0.7:
https://seclists.org/oss-sec/2023/q1/129

・ OpenSSL UAF漏洞（CVE-2023-0215）细节。该漏洞存在于OpenSSL3.0分支中较长时间，是由于BIO_new_NDEF函数中处理bio链不当导致的UAF，可由公钥证书错误等方式触发。 – P4nda

• Video super resolution in Microsoft Edge:
https://blogs.windows.com/msedgedev/2023/03/08/video-super-resolution-in-microsoft-edge/

・微软edge浏览器已经支持通过AI技术增强在线视频 – Atum

• NetBSD overflow:
https://seclists.org/fulldisclosure/2023/Mar/0

・ NetBSD HFS 文件系统存在本地内存破坏漏洞 – WireFish

• CVE-2023-21768 Local Privilege Escalation POC:
https://github.com/xforcered/Windows_LPE_AFD_CVE-2023-21768

・ Windows本地提取漏洞（CVE-2023-21768）的利用代码。 – P4nda

• [CVE-2023-25355/25356] No fix available – vulnerabilities in CoreDial sipXcom sipXopenfire:
https://seclists.org/fulldisclosure/2023/Mar/5

・ CoreDial sipXcom sipXopenfire组件中存在命令注入漏洞（CVE-2023-25355）和文件权限配置缺陷（CVE-2023-25356），具有XMPP权限的攻击者可组合上述漏洞获取服务器root权限。根据文中所说sipXopenfire组件默认关闭，上述漏洞细节经研究者多次联系厂商后未得到回复，从而选择在未修复的情况下公开。 – P4nda

* 查看或搜索历史推送内容请访问：
https://sec.today

* 新浪微博账号：腾讯玄武实验室
https://weibo.com/xuanwulab