欢迎您访问广东某某机械环保科有限公司网站,公司主营某某机械、某某设备、某某模具等产品!
全国咨询热线: 400-123-4567

哈希游戏

哈希游戏| 哈希游戏平台| 哈希游戏APP

HAXIYOUXI-HAXIYOUXIPINGTAI-HAXIYOUXIAPP

安全漏洞周报(20241209 哈希游戏- 哈希游戏平台-官方网站-241216)

作者:小编2024-12-20 19:51:19

  哈希游戏- 哈希游戏平台- 哈希游戏官方网站OpenWrt 是一款基于Linux的开源固件项目,专为嵌入式设备如路由器设计,提供高度的自定义性和扩展性。它允许用户构建定制化的固件镜像,并在升级过程中保留已有的安装包和设置,增强了设备的灵活性和功能性。OpenWrt/ASU(Attended SysUpgrade)是 OpenWrt 项目的一个关键组件,它提供了一个用户友好的系统升级服务。ASU 允许用户轻松升级他们的 OpenWrt 固件,同时保留已安装的软件包和设置。OpenWrt Attended SysUpgrade 命令注入漏洞(CVE-2024-54143),OpenWrt 的 Attended SysUpgrade(ASU)服务中存在命令注入漏洞和弱哈希漏洞。该命令注入漏洞源于 Imagebuilder 在构建过程中未能正确处理用户提供的软件包名称,导致攻击者可以将任意命令注入构建过程,生成恶意固件镜像。同时,由于 SHA-256 哈希被截断至12个字符,降低了哈希的复杂性,增加了哈希碰撞的可能性,使得攻击者可以利用哈希碰撞技术用恶意镜像覆盖合法缓存镜像,从而影响已交付版本的完整性。

  影响组件:Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。漏洞危害:Apache Struts 文件上传漏洞(CVE-2024-53677), Apache Struts 的文件上传逻辑中存在漏洞,若代码中使用了FileUploadInterceptor,当进行文件上传时,攻击者可能构造恶意请求利用目录遍历等上传文件至其他目录。如果成功利用,攻击者可能能够执行远程代码、获取敏感数据、破坏网站内容或进行其他恶意活动。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护影响范围:2.0.0 = Struts = 2.3.37(EOL)2.5.0 = Struts = 2.5.336.0.0 = Struts = 6.3.0.2修复方案:目前官方已发布安全更新,建议用户尽快升级至6.4.0及以上版本并使用ActionFileUploadInterceptor 作为文件上传组件:以上内容均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,易安联以及文章作者不承担任何责任。

  易安联专注零信任安全,先后发布EnSDP(零信任安界防护平台)、EnBox(零信任安全工作空间)、EnCASB(零信任云应用安全接入平台)、EnAppGate(统一资源发布系统)、EnIAM(零信任身份管理平台)、EnDTA(天织·DTA威胁分析系统)、EnSASE(安全访问服务平台)、Linkup one(零信任VPN接入系统)、天识·网站云监控平台等多款产品及解决方案,推出ZTNA零信任网络架构解决方案和EnSASE安全访问服务边缘解决方案并提供包括安全运维、实战攻防、应急演练等安全服务。公司目前客户已超千家,涵盖教育、金融、电力、互联网、运营商等行业。