漏洞修复第5页

软件工程学术顶会——ESEC/FSE 2022 议题（网络安全方向）清单、摘要与总结

riusksk·2023-09-05 14:24

【漏洞通知】JeecgBoot 修复SQL注入风险，漏洞危害等级：高危

漏洞危害等级：高危二、影响范围jeecgboot版本<3.5.4三、修复方案参考此次漏洞修复PR合并源码，

·2023-09-05 11:31

漏洞修复--OpenSSH权限提升漏洞（CVE-2021-41617）

1.漏洞描述:官方已发布安全版本修复漏洞，腾讯安全专家建议受影响的用户请尽快更新至安全版本。安全版本：OpenSSH8.8用户可根据所使用的发行版本，升级修复。查看OpenSSH版本：rpm-qa|grepopenssh升级OpenSSL版本：yum-yinstallopensshcentos7用户，建议升级到如下版本：openssh-7.4p1-22.el7_9centos8用户，建议升级到如下

上海运维Q先生·2023-09-05 09:07

Ubuntu 20.04.5 LTS openssh漏洞修复

为保障在升级openssh过程中出现网络中断导致连接不上服务器，建议先安装telnet服务，当网络中断时，可通过telnet远程到服务器。CVE-2021-28041漏洞描述：OpenSSH（OpenBSDSecureShell）是Openbsd计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。Ope

zq_Shen·2023-09-04 22:39

VmWare vCenter Server漏洞修复方案

本次共有6个重大漏洞vCenterServer堆溢出漏洞（CVE-2023-20892）vCenterServer释放后重用漏洞（CVE-2023-20893）vCenterServer越界写入漏洞（CVE-2023-20894）vCenterServer越界读取漏洞（CVE-2023-20895）vCenterServer越界读取漏洞（CVE-2023-20896）以上五个漏洞受影响版本VMwa

代码研究员·2023-09-04 15:23

CSRF漏洞修复

\\在Jsp文件头引入\\在登录的jsp中添加\\form表单中添加一个隐藏域：Input"/>

Franchen·2023-09-04 08:07

【1day】H5S视频平台未授权漏洞学习

目录一、漏洞描述二、资产测绘三、漏洞复现四、漏洞修复一、漏洞描述H5S视频平台是一个基于Web技术的视频播放和流媒体管理平台。它提供了一套完整的解决方案，用于在网页上播放和管理视频内容。

xiaochuhe.·2023-09-03 01:09

【1day】PHPOK cms SQL注入学习

目录一、漏洞描述二、资产测绘三、漏洞复现四、漏洞修复一、漏洞描述PHPOKCMS是一个基于PHP语言开发的开源内容管理系统（CMS）。它提供了一个强大的平台，用于创建和管理网站内容。

xiaochuhe.·2023-09-02 07:47

高级DBA带你处理Mysql数据库漏洞修复方法以及升级版本方法指南最详细全网唯一

一、问题痛点描述日常运维实际工作中，经常碰到密评风险漏洞生产环境扫描出很多数据库漏洞，要求整改MYSQL数据库整改方法就是升级版本，升更高版本就自动修复了上图的漏洞，能确保正常过风险评估。下文叙述了升级方法。升级规范5.7x升级5.7X比如5.7.22升级5.7.36（5.7版本官方也一直在更新修复BUG）8.0X升级至8.0X比如8.0.16升级至8.0.27不要5.7升级8.0，因为2个版本有

技术很渣·2023-09-02 04:28

请求走私漏洞修复（apache）

HTTP请求走私漏洞是指攻击者利用HTTP协议头的解析不一致性，通过发送特定的恶意请求，绕过安全限制，实现攻击的一种漏洞。Apache的修复方式主要是对HTTP头部进行统一处理，通过配置apache的服务器来解决漏洞。具体操作步骤如下：检查Apache的版本和配置文件首先确认自己当前使用的Apache版本和配置文件路径。可以通过命令“httpd-v”查看Apache版本，也可以通过locate或f

小菜茑·2023-09-01 20:55

漏洞修复：在应用程序中发现不必要的 Http 响应头

描述blablabla描述，一般是在返回的响应表头中出现了Server键值对，那我们要做的就是移除它，解决方案中提供了nginx的解决方案解决方案第一种解决方案当前解决方案会隐藏nginx的版本号，但还是会返回nginx字样，如果想再彻底点，参考第二种解决方案server{server_tokensoff;}orlocation{server_tokensoff;}第二种解决方案当前方法需要安装一

SangBigYe·2023-08-31 06:49

企业补丁管理必备的11个关键步骤

补丁解决可能被黑客利用的漏洞；漏洞修复用于纠正软件中的错误或缺陷，功能升级提供增强功能以改善用户体验。安装这些补丁和更新可以使组织的软件和固件安全、可靠，并与最新的改进保持同步。

胖头鱼不吃鱼-·2023-08-30 18:13

[CVE-2021-4034] polkit pkexec 本地提权漏洞

[email protected]:2023/08/25原文地址：https://histonevon.top/archives/cve-2021-4034文章目录漏洞描述漏洞复现漏洞修复

SPECIAL8654237·2023-08-30 12:58

Linux Graphics 周刊（第 4 期）

导读LPC2020:Linuxkernel添加Rust支持LPC2020:只需要一笔Patch，AndroidAOSP就可以在kernel-5.9主线上运行drm/prime:sg_tablenents漏洞修复

何小龙·2023-08-30 06:26

Oracle Log4j 漏洞修复及 AHF 的简单使用

JiekeXuDBA之路（ID:JiekeXu_IT）如需转载请联系授权|(个人微信ID：JiekeXu_DBA)大家好，我是JiekeXu,很高兴又和大家见面了,今天和大家一起来看看OracleLog4j漏洞修复及

JiekeXu·2023-08-29 00:08

如何在移动应用程序开发中正确使用加密技术

参考文章链接：https://www.krackattacks.com/漏洞修复文章链接：https://www.zdnet.com/article/kra

·2023-08-27 16:49

（Windows Sever 2012 R2安全更新漏洞修复）

背景：某项目一台WindowsSever2012R2的服务器被扫描出大量漏洞。例如：◆MicrosoftWindowsSMB远程代码执行漏洞(CVE-2017-0148)(MS17-010)◆MicrosoftWindowsCredSSP远程执行代码漏洞(CVE-2018-0886)等等。上述漏洞只是一部分，这些漏洞需要通过Windows更新进行修复。问题：漏洞通过自动更新是很方便的，直接点自动更

贤仔19·2023-08-24 03:35

漏洞+常见漏洞修复建议

一、漏洞级别高级别漏洞：大部分远程和本地管理员权限漏洞中级别漏洞：大部分普通用户权限、权限提升、读懂受限文件、远程和本杜漏洞、拒绝服务漏洞低级别漏洞：大部分远程非授权文件存取、口令恢复、欺骗、信息泄露漏洞二、漏洞扫描的原理是通过扫描目标系统的网络端口和服务，然后尝试利用已知的漏洞来获取对目标系统的未授权访问或执行恶意操作。三、漏扫和渗透的区别漏洞扫描：主要目的是识别目标系统中存在的已知漏洞，并提供

Serein&*·2023-08-22 21:44

springMVC Unix 文件参数变更漏洞修复

错误信息如下：解决方案：原因：未对用户输入正确执行危险字符清理未检查用户输入中是否包含“…”（两个点）字符串，比如url为/login?action=…/webapps/RTJEKSWTN26635&type=randomCodecookie为Cookie:JSESSIONID=…/webapps/RTJEKSWTN26241;测试返回为200解决办法：通过建立过滤器方法，增加对所有用户输入信息中

江小白写bug·2023-08-22 16:30

appScan扫描漏洞修复

不必要的http头修改nginx.conf以及需要加载新的模块请参考链接提示进行配置：https://blog.csdn.net/zzhongcy/article/details/115538272检测到隐藏目录1、需要新增一个404.html不存在的页面。Html内容写404就行2、修改nginx.conf的error_page下修改error_page404403500502503504/40

月慕向阳·2023-08-20 15:18

Android静态安全检测漏洞修复

Activity组件暴露检测漏洞描述：导出的Activity组件可以被第三方APP任意调用，导致敏感信息泄露，并可能受到绕过认证、恶意代码注入等攻击风险。修复建议：如果应用的Activity组件不必要导出，或者组件配置了intentfilter标签，建议显式设置组件的android:exported属性为false；如果组件必须要提供给外部应用使用，建议对组件进行权限控制。修复方案：1、修改and

听话哥·2023-08-20 10:12

springcloud actuator暴露端点漏洞修复

前段时间网络安全的同事突然通知系统漏洞，swagger漏洞和暴露多余端点等，可能会泄露信息。刚开始只是修改了相关配置。如下：更改config配置management:security:enabled:truesecurity:user:name:xxxpassword:xxxbasic:enabled:trueendpoints:enabled:falseactuator:enabled:true

Q_Gavin_Qin·2023-08-19 06:54

升级了OpenSSL后仍被扫描报存在漏洞的解决方案

安全漏洞修复-cve-2022-0778需要升级到openssl-1.1.1p。几个CentOS服务器编译安装以后，腾讯云安全扫描依旧提示漏洞存在。

乐大师·2023-08-18 22:41

WEB安全漏洞扫描与处理（下）——安全报告分析和漏洞处理

目录1AppScan生成的安全报告分析2漏洞的处理3漏洞修复案例4结语1AppScan生成的安全报告分析利用AppScan生成安全报告，可以提前对要生成的安全报告的内容进行选择，如下图，最全的安全报告内容

cooldream2009·2023-08-18 18:08

Log4j2 - JNDI 注入漏洞复现（CVE-2021-44228）

文章目录ApacheLog4j简介漏洞介绍影响版本漏洞编号影响组件应用环境准备靶场搭建漏洞利用利用工具使用方式反弹shell操作漏洞修复建议ApacheLog4j简介Apachelog4j是Apache

渗透测试小白·2023-08-18 14:09

ThinkPHP5 SQL注入（select方法）

ThinkPHP5SQL注入（select方法）漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结漏洞概要本次漏洞存在于Mysql类的parseWhereItem方法中，由于程序没有对数据进行很好的过滤，

H3rmesk1t·2023-08-17 14:47

ThinkPHP5.1.x SQL注入（orderby注入）

ThinkPHP5.1.xSQL注入（orderby注入）漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结漏洞概要本次漏洞存在于Builder类的parseOrder方法中，由于程序没有对数据进行很好的过滤

H3rmesk1t·2023-08-17 14:47

ThinkPHP5.1.x SQL注入（update方法）

ThinkPHP5SQL注入（update方法）漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结漏洞概要本次漏洞存在于Mysql类的parseArrayData方法中，由于程序没有对数据进行很好的过滤，

H3rmesk1t·2023-08-17 14:17

Java中SpringBoot中Actuator漏洞修复

Java中SpringBoot中Actuator漏洞修复风险分析:风险分析：Actuator是SpringBoot提供的服务监控和管理中间件。

Java小白笔记·2023-08-17 05:52

【漏洞修复通知】修复 Apache Shiro 认证绕过漏洞，漏洞编号：CVE-2023-34478，漏洞危害等级：高危

2023年7月24日，ApacheShiro发布更新版本，修复了一个身份验证绕过漏洞，漏洞编号：CVE-2023-34478，漏洞危害等级：高危。ApacheShiro版本1.12.0之前和2.0.0-alpha-3之前容易受到路径遍历攻击，当与基于非规范化请求路由请求的API或其他web框架一起使用时，可能导致身份验证绕过。JeecgBoot官方已修复，建议大家尽快升级至ApacheShiro1

·2023-08-15 20:39

【漏洞修复通知】修复Apache Shiro认证绕过漏洞

近日，Apache官方发布了安全公告，存在ApacheShiro身份认证绕过漏洞，漏洞编号CVE-2022-32532。JeecgBoot官方已修复，建议大家尽快升级至ApacheShiro1.9.1版本。漏洞描述ApacheShiro中使用RegexRequestMatcher进行权限配置，并且正则表达式中携带"."时，可通过绕过身份认证，导致身份权限验证失效。影响范围ApacheShiro<1

·2023-08-15 20:02

JeecgBoot 2.x版本SQL漏洞补丁发布——响应零日漏洞修复计划

漏洞编码：HW21-0499产品名字：JeecgBoot低代码平台问题：JEECG系统存在SQL注入0day漏洞处理情况：已经处理处理方案：针对存在SQL漏洞注入风险的接口，采用加签名认证的方式进行安全验证。加签规则逻辑：接口参数+自定义密钥串（正式发布自行修改）+年月日时分秒时间戳。补丁包下载：https://pan.baidu.com/s/10SgP...提取码：cy2q

·2023-08-15 20:28

CDP集群漏洞修复脚本

CDP集群漏洞修复脚本(范例)#!/bin/bash#日志路径log_path='/ciblog/cdp_BugFix_log'if[!

岁月的眸·2023-08-15 18:10

阿里云linux系统漏洞修复

CVE-2018-25032:zlib缓冲区错误漏洞（CVE-2018-25032）https://www.itbiancheng.com/article/5600.htmlyumupdatezlib-yRHSA-2022:0064:openssl安全更新https://www.itbiancheng.com/article/5569.htmlyum-yupdateopensslRHEA-2019

陆先生。·2023-08-15 07:54

NFS高版本漏洞修复方法

Centos8NFS漏洞修复由于centos8后，nfs相关的配置发送了变化，无法固定端口方式来做防火墙，由于一般导致漏洞的原因主要是由于showmount-e，所以我们这里采取的方式是nfsserver

旺仔_牛奶·2023-08-15 03:59

IoT 物联网安全事件的持续检测和监控解决方案

对于IoT物联网安全事件的持续检测和监控，可以采用以下解决方案：设备管理和漏洞修复：确保设备的固件和软件及时更新，并修补已知的漏洞。建立一个设备清单，并定期审查和更新其中的设备。

SafePloy安策·2023-08-14 14:41

AppScan Unix 文件参数变更漏洞修复

原因：未对用户输入正确执行危险字符清理未检查用户输入中是否包含“…”（两个点）字符串，比如url为/login?action=…/webapps/RTJEKSWTN26635&type=randomCodecookie为Cookie:JSESSIONID=…/webapps/RTJEKSWTN26241;测试返回为200使用AppScan扫描之后可以通过这样的方式进行指定问题手动测试解决办法：使用

huan1213858·2023-08-13 00:45

MongoDB数据库未授权访问漏洞

为保证您的业务和应用的安全，提供以下漏洞修复指导方案，

技术流刘·2023-08-10 18:22

数据库安全防护方案

文章目录1.访问控制2.参数化查询3.密码安全4.数据备份和恢复5.网络安全6.日志监控7.定期更新和漏洞修复1.访问控制确保只有授权用户可以访问数据库。

儿时可乖了·2023-08-10 16:44

RuoYi-Vue代码常见漏洞修复

Redis未设置密码解决方法：此方法永久生效*找到requirepass关键字，后面就是跟的密码，默认情况下是注释掉的，即默认不需要密码，如下：打开注释，设置为自己的密码，重启即可数据库密码明文获取公钥、密钥、加密密码java-cpdruid-1.2.15.jarcom.alibaba.druid.filter.config.ConfigToolsXXXXXX(数据库明文密码获得公钥，秘钥，以及加

你邻座的怪同学·2023-08-10 09:58

【CVE-2021-4043】Linux本地提权漏洞复现

实验步骤文章目录实验步骤CVE-2021-4043Linux本地提权漏洞实验背景实验环境漏洞复现构造payload用gcc编译后上传到阿里云执行payload漏洞修复CVE-2021-4043Linux

geekrabbit·2023-08-10 06:08

Springboot之Actuator的渗透测试和漏洞修复

Actuator的REST接口Actuator监控分成两类：原生端点和用户自定义端点；自定义端点主要是指扩展性，用户可以根据自己的实际应用，定义一些比较关心的指标，在运行期进行监控。原生端点是在应用程序里提供众多Web接口，通过它们了解应用程序运行时的内部状况。原生端点又可以分成三类：1.应用配置类：可以查看应用在运行期的静态信息：例如自动配置信息、加载的springbean信息、yml文件配置信

_不吃猫的鱼_·2023-08-08 23:32

Thinkphp 5.0.24反序列化漏洞修复方案

Thinkphp5.0.24存在反序化漏洞，入口点在thinkphp/library/think/process/pipes/Windows.php中__destruct魔术方法。网上有很多讲解如何利用这个漏洞进行攻击，百度Thinkphp5.0.24反序化漏洞会出来一堆。但是如何修复这个漏洞没有讲解，我去Thinkphp官网上也没有查到，我的建议一个是升级Thinkphp版本。下面是我的修复方案

glfxml·2023-08-05 16:11

【安全测试】Web应用安全之XSS跨站脚本攻击漏洞

目录前言XSS概念及分类反射型XSS(非持久性XSS)存储型XSS(持久型XSS)如何测试XSS漏洞方法一：方法二：XSS漏洞修复原则：不相信客户输入的数据处理建议资料获取方法前言以前都只是在各类文档中见到过

bug捕手·2023-08-05 13:22

3389（RDP）CVE-2019-0708 漏洞复现

目录漏洞概述影响版本环境搭建和漏洞复现检测方法1：检测方法2：漏洞利用方法1：可导致目标系统蓝屏漏洞利用方法2：可导致目标系统蓝屏漏洞修复漏洞概述CVE-2019-0708是微软于2019年05月14日发布的一个严重的

pikeboom·2023-08-05 13:48

Spring Boot Actuator未授权访问漏洞和Apache Druid 漏洞修复

SpringBootActuator未授权访问漏洞详细描述Actuator是springboot提供的用来对应用系统进行自省和监控的功能模块，借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在Actuator启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点（endpoints）来获取应用系统中的监控信息。解决办法1.配置认证在项目的pom.

songsshao·2023-08-04 08:20

安全漏洞修复帖

对于项目漏洞都是一堆又不重要又很重要的事情一、修复HTTP响应头缺失NginxTomcat响应头：值二、会话Cookie中缺少secure属性三、Htmlform表单没有CSRF防护Security的示例Shiro的示例四、Host头攻击NginxTomcatApache五、开启options方法一、修复HTTP响应头缺失Nginxnginx.conf配置文件中location/{add_head

爱机车的程序猿·2023-08-04 08:37

漏洞复现（二）：HTTP.SYS远程代码执行漏洞(MS15-034)

目录漏洞介绍影响范围漏洞危害漏洞复现环境配置漏洞验证漏洞利用漏洞修复临时补丁漏洞总结漏洞介绍漏洞编号：CVE-2015-1635（MS15-034）远程执行代码漏洞存在于HTTP协议堆栈(HTTP.sys

源十三·2023-07-30 17:52

Padding Oracle Attack(填充提示攻击)详解及验证

定级为Critical，是利用PaddingOracleVulnerability破解rememberMeCookie，达到反序列化漏洞的利用，攻击者无需知道rememberMe的加密密钥（绕过之前的漏洞修复

ShadowHorse·2023-07-30 14:24

Linux近两年高危漏洞修复过程记录

一、背景2023年8月份，面对即将到来的“大运会”、“亚运会”，今年的例行安全护网阶段也将迎来新的挑战和时刻，为此相关部门发布了国家级实战攻防演练已进入紧急「备战」时刻！这里我们主要说一下LinuxOS层面的漏洞处理，涉及到升级系统内核，特此记录，以备参考追溯。Linux内核源码目录被默认放置在“/usr/src/linux”目录中。此目录通常被称为“Linux源代码树”。该目录包含了Linux内

羌俊恩·2023-07-29 09:13

推荐频道

漏洞修复