ASF基金会披露由腾讯云鼎实验室通报的高危漏洞
这是近期 ASF 基金会披露的第三个安全问题,此次安全公告主要涉及 CVE-2024-45387 漏洞,该漏洞由腾讯云鼎安全实验室的研究人员报告。
漏洞位于 Apache Traffic Control 流量控制组件中,该组件可以建立内容分发网络即 CDN,实现快速高效地向用户交付内容。
CVE-2024-45387 漏洞 CVSS 评分为 9.9/10 分,若成功利用漏洞则攻击者可以在数据库中执行任意结构化查询语言命令 (即 SQL 命令)。
项目维护者在公告中表示:
Apache Traffic Control 8.0.0~8.0.1 版中的 Traffic Ops 中存在 SQL 注入漏洞,允许具有管理员、联合、操作、门户、指导角色的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL 命令。
使用该模块的用户应当立即升级到 8.0.2 版,该版本发布于 2024 年 10 月,到现在才披露漏洞就是为了避免有攻击者对新版本进行逆向从而发现漏洞并利用。
-
Telegram现在添加/删除通行密钥时所有设备都将收到提醒
此前即时通讯工具 Telegram 已经新增通行密钥 (Passkey) 的支持,通行密钥的优势在于可以无密码登录,也不需要每次登录时使用短信验证码。但通行密钥的部署上也存在某些弱点,即每个账号可以创
-
微软承认会向FBI等提供设备密钥(BitLocker云端恢复密钥) 称用户应当预见泄露风险
微软开发的私有加密机制 Microsoft BitLocker 会在执行加密操作时让用户选择保存密钥文本文件或将其保存到微软账户中,如果用户在未来不慎丢失密钥可以通过微软账户的云端获取解密密钥从而解密
-
专门骗B站小白用户?B站出现大量新号发视频宣传带毒的图吧工具箱
据蓝点网网友分享的消息,近期 B 站出现大量新注册的账号发布视频宣传图吧工具箱,图吧工具箱本身是个非常不错的免费工具,但这些账号的目的在于吸引用户通过夸克网盘下载带毒的图吧工具箱。对 B 站审核人员来
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注KnowSafe微信公众号
