VMware 为 ESXi 虚拟机管理程序中的一个严重漏洞发布补丁后不到一周，微软威胁情报团队表示，勒索软件团体正在利用该漏洞获取加入域的系统的完全管理访问权限。 根据微软威胁情报团队的最新警告，该漏洞编号为 CVE-2024-37085，CVSS 严重性评分为 6.8，已被多个已知勒索软件组织滥用，在企业网络上部署数据勒索恶意软件。 VMware 上周发布补丁和解决方法时并未提及野外攻击，同时警告黑客可能利用该漏洞获取对 ESXi 主机未经授权的访问和控制。 VMware 表示：“VMware ESXi 包含身份验证绕过漏洞。VMware 已评估此问题的严重性，将其评为中等严重性范围。”“具有足够 Active Directory (AD) 权限的攻击者可以通过在从 AD 中删除配置的 AD 组（默认情况下为“ESXi 管理员”）后重新创建该组，获得对之前配置为使用 AD 进行用户管理的 ESXi 主机的完全访问权限。” 该公司推出了针对 ESXi 8.0 和 VMware Cloud Foundation 5.x 的补丁，但没有计划推出针对 ESXi 7.0 和 VMware Cloud Foundation 4.x 的补丁。 微软报告称，Storm-0506、Storm-1175 和 Octo Tempest 等知名网络犯罪集团已经利用此 VMware ESXi 漏洞部署勒索软件。 微软表示：“过去三年中，针对并影响 ESXi 虚拟机管理程序的微软事件响应 (Microsoft IR) 活动的数量增加了一倍以上。” 在一个记录在案的案例中，微软表示北美一家工程公司受到了 Black Basta 勒索软件部署的影响，其中包括使用 CVE-2024-37085 漏洞来获取组织内 ESXi 虚拟机管理程序的提升权限。 该公司警告称：“微软发现威胁行为者在域中创建了‘ESX Admins’组并向其中添加了一个新用户帐户……此攻击导致 ESXi 文件系统被加密，并导致 ESXi 管理程序上托管的虚拟机失去功能。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/g_dRPBhX0HQeAPYRH-Dz-g 封面来源于网络，如有侵权请联系删除

安全内参7月24日消息，今年1月中旬，正值隆冬时节，乌克兰利沃夫市的部分居民被迫在没有集中供暖的情况下生活了两天。安全研究人员和乌克兰当局后来得出结论，原因是一家市政能源公司遭受了网络攻击。 美国工控安全公司Dragos昨天发布报告，详细介绍了一种名为FrostyGoop的新型恶意软件。Dragos表示，该软件旨在攻击工业控制系统。在上述案例中，该软件被用来针对一种供暖系统控制器。 新型恶意软件致使超600栋公寓停暖 Dragos的研究人员在报告中写道，他们在今年4月首次检测到这种恶意软件。当时，除了恶意软件样本外，Dragos没有更多关于FrostyGoop的信息，认为它仅用于测试。然而，后来乌克兰当局向Dragos发出预警称，有证据表明在1月22日晚间至1月23日，这种恶意软件被用于对利沃夫发起网络攻击。 在报告发布前的一次记者电话会议中，Dragos的研究人员Mark Graham（代号“喜鹊”）说道：“攻击导致超过600栋公寓楼在近48小时内失去了供暖。” 乌克兰国家安全委员会的一位发言人通过电子邮件告诉外媒TechCrunch，在攻击发生后，他们“参与制定了应对措施”。 发言人在电子邮件中写道：“因此，网络攻击的影响很快被消除，服务得以恢复。” 发言人证实攻击发生在2024年1月，影响了“利沃夫市超过600户家庭。”发言人还表示，黑客的目标是“LvivTeploEnergo的信息和通信基础设施”，这是一家大型暖气和热水供应商。 Dragos的研究人员Graham、Kyle O’Meara和Carolyn Ahlers在报告中写道：“事件的修复花了近两天时间。在此期间，民众不得不忍受低于零度的气温。” 工控恶意软件正成为重大威胁 这是近年来乌克兰人遭遇的第三起与网络攻击相关的市政服务停运事件。研究人员表示，虽然这种恶意软件不太可能引起大范围停运，但它表明恶意黑客正在加大对关键基础设施（如能源电网）的攻击力度。 FrostyGoop恶意软件旨在通过Modbus协议与工业控制设备（ICS）交互。Modbus是一种在全球范围内广泛使用的旧协议，用于控制工业环境中的设备。根据Dragos的说法，这意味着FrostyGoop可以用于攻击其他公司和设施。 Graham告诉记者：“目前，至少有4.6万个暴露在互联网上的ICS设备允许使用Modbus。” Dragos表示，FrostyGoop是该公司多年来遇到的第九个专门针对ICS的恶意软件。其中最著名的是Industroyer（也称为CrashOverride）。与俄罗斯政府有关的臭名昭著的黑客组织Sandworm先后利用Industroyer切断基辅的电力、断开乌克兰的电力变电站。 除了针对乌克兰的这些网络攻击，Dragos还发现名为Triton的恶意软件，它先后被部署在沙特一家石化工厂和另一座未知设施。另外，去年Mandiant公司还发现名为CosmicEnergy的恶意软件。 攻击者通过路由器进入网络，国产控制器遭劫持 Dragos的研究人员写道，他们认为控制FrostyGoop恶意软件的黑客首先通过利用暴露在互联网的MikroTik路由器的漏洞访问了目标市政能源公司的网络。研究人员表示，该路由器与其他服务器和控制器没有“充分隔离”。其中一款控制器的制造商是中国公司ENCO。 Graham在电话会议中表示，他们在立陶宛、乌克兰和罗马尼亚发现了处于暴露状态的ENCO控制器。他再次强调，虽然这次FrostyGoop用于利沃夫的定向攻击，但控制该恶意软件的黑客完全有可能会在其他地方发起攻击。 ENCO及其员工未立即回应TechCrunch的置评请求。 研究人员写道：“对手没有尝试破坏控制器。相反，对手让控制器报告不准确的测量结果，导致系统运行错误，无法向客户供暖。” 在调查期间，研究人员表示，他们得出结论认为黑客“可能在2023年4月”首次访问了目标网络，这差不多是他们部署恶意软件并切断供暖之前一年。报告称，在接下来的几个月中，黑客不断访问网络，并在2024年1月22日通过位于莫斯科的IP地址连接到网络。 Graham表示，尽管攻击者IP地址位于俄罗斯，Dragos并未指出哪一家已知黑客组织或政府应对此次网络攻击导致的服务中断负责，因为他们找不到与之前活动或工具的联系，也因为Dragos长期以来并不对网络攻击进行溯源。 不过，Graham指出，他和他的同事们认为这次破坏行动是通过互联网进行的——而不是向设施发射导弹——可能是为了破坏当地乌克兰人的士气。 Graham说：“我认为，这次攻击在很大程度上是一种心理攻击，通过网络手段进行。这种情况下，物理攻击可能并非最佳选项。” 最后，Dragos的首席技术官Phil Tonkin表示，虽然我们不能低估FrostyGoop带来的危害，但同样重要的是不要过分炒作它。他在与媒体的电话会议中说道：“我们必须认识到，这是一个被积极使用的工具。同样重要的是，我们不要认为这个工具能够立即摧毁一个国家的电网。”   转自安全内参，原文链接：https://mp.weixin.qq.com/s/pjZbGxwrxS-FvAffOMUM5Q 封面来源于网络，如有侵权请联系删除

LangChain是一个流行的开源生成式人工智能框架，其官网介绍，有超过一百万名开发者使用LangChain框架来开发大型语言模型（LLM）应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。 近日，来自Palo Alto Networks的研究人员详细描述了LangChain中的两个重大安全漏洞。 这些漏洞被识别为CVE-2023-46229和CVE-2023-44467，它们有可能允许攻击者执行任意代码和访问敏感数据。鉴于有一百多万名开发者依赖LangChain，这一发现给众多AI驱动的应用程序带来了重大安全风险。 CVE-2023-46229：服务器端请求伪造（SSRF） 在LangChain 0.0.317之前的版本中，存在一个通过精心设计的站点地图实现的SSRF漏洞。利用该漏洞，攻击者可以从内网获取敏感信息，并可能绕过访问控制。Palo Alto Networks在2023年10月13日发现了这一问题，并立即通知了LangChain团队。该漏洞已在版本0.0.317中通过拉取请求langchain#11925得到修复。 CVE-2023-44467：LangChain实验中的严重提示注入 CVE-2023-44467是一个严重提示注入漏洞，影响0.0.306之前的LangChain实验版本。LangChain实验是一个专为研究和试验而设计的Python库，包含可能被恶意提示利用的集成。这个漏洞影响了PALChain功能，这是一个通过程序辅助语言模型（PAL）增强语言模型生成代码解决方案的能力的功能。 该漏洞允许攻击者利用PALChain的处理能力进行提示注入，使他们能够执行有害的命令或代码。这种利用可能导致未经授权的访问或操纵，带来重大的安全风险。Palo Alto Networks在2023年9月1日识别出这一问题，并及时通知了LangChain开发团队，后者在第二天在LangChain实验PyPI页面上发布了警告。 随着对大型语言模型（LLM）应用需求的增加，LangChain的受欢迎程度在最近几个月急剧上升。其丰富的预构建组件和集成库使其成为开发者的首选工具。然而，这种广泛的应用也意味着这些漏洞的潜在影响被放大。 Palo Alto Networks的研究人员强烈建议使用LangChain的开发者和组织将LangChain更新到最新的修补版本，以确保应用安全。   转自Freebuf，原文链接：https://www.freebuf.com/news/407063.html 封面来源于网络，如有侵权请联系删除

CrowdStrike 周三分享了其事后初步审查的信息，解释了为什么造成全球混乱的更新没有被内部测试发现。 这家网络安全巨头向其 Falcon 代理（传感器）提供了两种类型的安全内容配置更新：传感器内容和快速响应内容。 就传感器内容更新而言，它们提供了广泛的功能来帮助客户应对对手，并包括长期可重复使用的威胁检测功能。这些代码更新不是从云端动态获取的，而是经过严格测试的，客户可以选择将更新发布到其设备群的哪些部分。 另一方面，快速响应内容不是代码更新，而是一个专有的二进制文件，其中包含配置数据，可在无需更改代码的情况下提高设备上的可见性和检测能力。验证器组件会在内容发送给客户之前对其进行检查。 7 月 19 日推出的问题更新是一个快速响应内容更新，针对滥用命名管道的新型攻击技术。 根据自 3 月份以来进行的测试和部署，该内容验证器被信任能够识别任何问题。但是，该验证器包含一个错误，导致错误的更新通过了验证。 由于没有进行额外的测试，有问题的更新被推入生产环境，导致大约 850 万台运行 Windows 操作系统的设备进入蓝屏死机 (BSOD) 循环。 Windows 崩溃是由越界内存读取引发异常引起的。CrowdStrike表示，其内容解释器组件旨在“妥善处理可能存在问题的内容引发的异常”，但这次异常并未得到妥善处理。 CrowdStrike 计划改进快速响应内容测试，包括通过本地开发人员测试、内容更新和回滚测试、压力测试、模糊测试、稳定性测试和内容接口测试。内容验证器将为快速响应内容添加额外的检查，并增强错误处理。 此外，该安全公司表示正在实施快速响应内容的交错部署策略，客户将对这些更新的部署有更大的控制权。 CrowdStrike 周一宣布已经找到了一种加速修复受错误更新影响的系统的方法，并声称大量设备已经得到恢复。 该事件被描述为历史上最严重的 IT 故障之一，导致全球航空、金融、医疗保健和教育等领域出现严重中断。 美国众议院领导人要求 CrowdStrike 首席执行官乔治·库尔茨向国会作证，说明该公司在引发大规模停电事件中所扮演的角色。 与此同时，组织和用户已被警告，威胁组织正在利用这一事件进行网络钓鱼、诈骗和恶意软件传播。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HHd5ICaCpHP3jsqxulsWoQ 封面来源于网络，如有侵权请联系删除

ESET Research在一个地下论坛上发现了一个针对Android Telegram的零日漏洞广告。 ESET将该漏洞命名为“EvilVideo”，并将其报告给Telegram，Telegram于7月11日更新了该应用程序。 EvilVideo允许攻击者发送恶意的有效载荷，这些载荷以视频文件的形式出现在Android的旧Telegram应用程序中。 该漏洞仅影响Android Telegram 10.14.4及更早版本。 近日， ESET研究人员发现了一个针对Android Telegram的零日漏洞，该漏洞名为“EvilVideo”，从今年6月开始在一个地下论坛出售，价格不详。利用该漏洞，攻击者可以通过Telegram频道、群组和聊天共享恶意的Android有效载荷，并使其看起来像是多媒体文件。 “我们在一个地下论坛上发现了出售该漏洞的广告。在帖子中，卖家展示了在公共Telegram频道中测试该漏洞的截图和视频。我们识别出了有问题的频道，漏洞仍然可用，因此我们可以获得有效载荷并自己进行测试，”ESET研究员Lukáš Štefanko解释说。 发布在地下论坛的帖子 ESET Research对该漏洞的分析显示，它影响Telegram 10.14.4及更早版本。原因可能是特定的有效载荷是使用Telegram API制作的，因为它允许开发人员以编程方式将特制的多媒体文件上传到Telegram聊天或频道。该漏洞似乎依赖于攻击者能够创建一个有效载荷，将Android应用显示为多媒体预览，而不是二进制附件。一旦在聊天中分享，恶意有效载荷看起来就像是一个30秒的视频。 漏洞利用的例子 默认情况下，通过Telegram接收的媒体文件设置为自动下载。这意味着启用此选项的用户一旦打开共享的对话，就会自动下载恶意负载。虽然默认的自动下载选项可以手动禁用，但在这种情况下，仍然可以通过点击共享视频的下载按钮下载有效载荷。 如果用户试图播放“视频”，会触发真正的Telegram弹出错误信息：“应用程序无法播放此视频，是否尝试使用外部播放器？”这是在合法的Android Telegram应用程序源代码中发现的原始Telegram警告，而不是由恶意负载设计和推送的。 警告无法播放“视频” 用户可以选择取消或尝试打开文件。但如果用户选择“打开”，他们还需要允许Telegram应用程序安装Android应用程序包（APK）。在安装之前，Telegram会要求用户启用未知应用程序的安装。因此，用户需要执行一系列操作才能激活恶意载荷，但伪装的文件和Telegram的错误分类仍然引起了明显的安全担忧。 Telegram要求用户允许安装未知的应用程序 在2024年6月26日发现EvilVideo漏洞后，ESET按照协调的披露政策向Telegram报告了该漏洞，但当时没有收到任何回应。7月4日，ESET再次报告了这个漏洞，当天，Telegram联系了ESET，确认其团队正在调查EvilVideo。随后，Telegam修复了这个问题，于7月11日发布了10.14.5版本。该漏洞影响到10.14.4之前的所有版本的Android Telegram，已在10.14.5版本中更新。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406751.html 封面来源于网络，如有侵权请联系删除

CISA 警告称，GeoServer GeoTools 的一个严重远程代码执行漏洞（CVE-2024-36401）正在被攻击积极利用。 GeoServer 是一个用 Java 编写的开源软件服务器，允许用户共享和编辑地理空间数据。 6 月 30 日，GeoServer 披露了这一漏洞，其严重性评级为 9.8。该漏洞是由于不安全地将属性名称评估为 XPath 表达式所致。 GeoServer 的公告表示：“GeoServer 调用的 GeoTools 库 API 在评估特征类型的属性/属性名称时，会以不安全的方式将其传递给 commons-jxpath 库，后者在评估 XPath 表达式时可执行任意代码。这个漏洞会影响所有 GeoServer 实例，因为 XPath 评估只适用于复杂的特征类型，但却被错误地应用于简单的特征类型。” 虽然当时该漏洞并未被积极利用，但研究人员很快发布了 PoC[1, 2, 3]，演示了如何在暴露的服务器上执行远程代码、打开反向 shell、建立向外连接或在 `/tmp` 文件夹中创建文件。 x帖子截图 项目维护人员修补了 GeoServer 版本 2.23.6、2.24.4 和 2.25.2 中的漏洞，并建议所有用户升级到这些版本。 开发人员还提供了解决方法，但也警告道，这些解决方法可能会破坏 GeoServer 的某些功能。 CVE-2024-36401 被用于开展攻击 近日，CISA 将 CVE-2024-36401 添加到其已知漏洞目录中，警告称该漏洞正在被积极利用进行攻击。 鉴于此，CISA 要求联邦机构在 2024 年 8 月 5 日前为服务器打上补丁。 虽然 CISA 没有提供有关如何利用这些漏洞的任何信息，但搜索引擎 ZoomEye 报告称，约有 18760 台 GeoServer 服务器暴露在网上，其中大部分位于美国、罗马尼亚、德国和法国。 ZoomEye 搜索截图 尽管 CISA 的 KEV 目录主要针对联邦机构，但私营机构 GeoServer 也应优先修补这一漏洞，以防止被黑客攻击。 尚未打补丁的用户应立即将其升级到最新版本，并彻底检查其系统和日志是否存在可疑漏洞。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

研究人员警告称，VPN 受到一个漏洞的影响，该漏洞可被利用来发动中间人 (MitM) 攻击，从而使攻击者能够拦截和重定向流量。 这项研究由亚利桑那州立大学、新墨西哥大学、密歇根大学和多伦多大学公民实验室的代表进行。 该攻击技术名为Port Shadow，漏洞编号为 CVE-2021-3773，基于 Benjamin Mixon-Baca 和 Jedidiah R. Crandall 于 2021 年首次提出的研究。两人均代表亚利桑那州立大学参与了这项新研究项目。 本周发表了一篇详细介绍这项研究的论文。 开展网络隐私和安全研究的公民实验室也发布了一份摘要。 VPN，即虚拟专用网络，旨在安全地访问远程资源，通常用于绕过审查机制并隐藏个人在线身份。 Port Shadow攻击使攻击者能够将目标锁定在相同 VPN 服务器中的其他人。具体来说，VPN 服务器有一个称为端口的共享资源，每个连接都分配给一个端口。 据研究人员称，攻击者可以“将自己的信息隐藏在受害者的端口上作为共享资源”。 他们解释说：“通过精心设计攻击者自己与 VPN 服务器的连接以及攻击者控制的远程互联网位置的数据包，就可以对使用同一 VPN 服务器的其他 VPN 用户发动攻击，其方式与对共享 WiFi 发动的攻击非常相似。” 该图描绘了两个 VPN 客户端和一个 VPN 服务器之间的典型交互 研究人员演示了攻击者如何利用 Port Shadow 充当目标用户和 VPN 服务器之间的路径内路由器，从而使他们能够拦截和重定向加密流量、对 VPN 对等体进行去匿名化以及进行端口扫描。 已发现 Port Shadow 攻击可针对在 Linux 或 FreeBSD 上运行的 OpenVPN、WireGuard 和 OpenConnect 进行攻击 — — 尽管 FreeBSD 的漏洞较小。 公民实验室解释说：“我们向 VPN 软件开发商、Linux 和 FreeBSD 披露了这个漏洞，但由于漏洞的工作方式，缓解策略仅限于使用特定的防火墙规则，而不是代码修复。” 研究人员向 VPN 开发人员和提供商分享了一些建议，这些建议应该有助于防止 Port Shadow 攻击。对于最终用户来说，连接到私人 VPN 服务器是保护自己免受此类攻击的最佳方式。ShadowSocks 和 Tor 不受影响。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/CsucoJju3WrF89rn9aZw4A 封面来源于网络，如有侵权请联系删除

近日，思科公司披露了其智能软件管理器本地版（SSM On-Prem）中的一个关键漏洞，该漏洞允许未经身份验证的远程攻击者更改任何用户的密码，包括管理员用户的密码。这个漏洞被追踪为 CVE-2024-20419，其严重程度评分为 10 分。 据悉，该漏洞是由于思科 SSM On-Prem 认证系统中密码更改过程执行不当造成的。 攻击者可以通过向受影响的设备发送特制的 HTTP 请求来利用这个漏洞。成功利用将允许攻击者以受影响用户的权限访问 Web UI 或 API，从而在未经授权的情况下对设备进行管理控制。 受影响的产品 思科 SSM On-Prem 思科智能软件管理器卫星版（SSM Satellite） 思科 SSM 卫星版已更名为思科智能软件管理器。对于 7.0 版本之前发布的版本，该产品称为思科 SSM 卫星版。从 7.0 版本开始，它被称为思科 SSM On-Prem。 已修复的软件 思科已发布软件更新来解决此漏洞。修复的版本如下： 建议客户升级到适当的软件修复版本以保护其系统安全。 此漏洞没有可用的解决方法，思科建议所有管理员升级到修复版本以降低风险。 截至目前，尚未有公开的公告或证据表明此漏洞被恶意利用，思科的产品安全事件响应团队（PSIRT）将继续监控这一情况。 另外，拥有服务合同的客户应通过其常规更新渠道获得安全修复程序，没有服务合同的客户可以联系思科技术援助中心（TAC）以获得必要的更新。 如何检查思科智能软件管理器本地版的版本 访问管理门户 打开一个 Web 浏览器，输入思科 SSM On-Prem 服务器的 IP 地址和端口号。例如，如果 IP 地址是 172.16.0.1，则输入：https://172.16.0.1:8443/admin 登录 使用管理员凭据登录管理门户。 查找系统运行状况部分 登录后，导航到管理门户的“系统运行状况”部分。此部分通常显示的是思科 SSM On-Prem 安装的当前软件发布版本。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406337.html 封面来源于网络，如有侵权请联系删除

澳大利亚软件供应商 Atlassian 周二发布安全更新，以修复其 Bamboo、Confluence 和 Jira 产品中的几个高严重漏洞。 Atlassian 公司紧急呼吁关注 Bamboo 数据中心和服务器更新，以解决两个高严重性漏洞，其中一个影响 UriComponentsBuilder 依赖项的漏洞，可能允许未经身份验证的攻击者执行服务器端请求伪造 (SSRF) 攻击。 该漏洞编号为 CVE-2024-22262，影响 Bamboo Data Center 和 Bamboo Server 版本 9.0.0、9.1.0、9.2.1、9.3.0、9.4.0、9.5.0 和 9.6.0，并在 9.6.3 LTS 和 9.2.14 LTS 版本中得到解决。 Atlassian 表示，第二个漏洞编号为 CVE-2024-21687，是一个文件包含漏洞，允许攻击者“让应用程序显示本地文件的内容，或执行已在服务器本地存储的其他文件”。 该问题影响 Bamboo Data Center 和 Server 的 9.0.0、9.1.0、9.2.0、9.3.0、9.4.0、9.5.0 和 9.6.0 版本，需要身份验证才能成功利用，并已在 Bamboo Data Center 和 Server 9.6.4 LTS 和 9.2.16 LTS 版本中得到解决。 该公司还推出了针对 Confluence 数据中心和 Confluence 服务器中七个高严重性漏洞的补丁，其中五个是 Apache Commons Compress 依赖项中的拒绝服务漏洞。 Atlassian 指出：“易受攻击版本存在于 Confluence 中，但尚未被使用。因此，我们的产品本身并不易受攻击，也不存在风险。升级将转移到库的较新版本 – 但任何未来的升级都将这样做。” 这些漏洞已在 Confluence Data Center 版本 8.9.4、8.5.12 LTS 和 7.19.25 LTS 以及 Confluence Server 版本 8.5.12 LTS 和 7.19.25 LTS 中得到解决。 安全更新还解决了与捆绑 JDK 相关的十几个 CVE，但不影响 .zip/.tar.gz 发行版。第三方依赖性漏洞是在 Confluence Data Center 和 Server 7.0.1 版本中引入的。 此外，Atlassian 发布了针对存储型跨站点脚本 (XSS) 问题的修复程序，该问题可能允许经过身份验证的攻击者在受害者的浏览器中执行任意 HTML 或 JavaScript 代码。 Jira Software 数据中心和服务器以及 Jira Service Management 数据中心和服务器已更新，以解决 XStream 依赖项中的一个高严重性漏洞，该漏洞可能被利用来导致拒绝服务情况。 该漏洞的补丁编号为 CVE-2022-41966，包含在 Jira Software Data Center 和 Server 版本 9.8.0、9.12.0 LTS 和 9.4.18 LTS 中，以及 Jira Service Management Data Center 和 Server 版本 5.8.0、5.12.0 LTS 和 5.4.18 LTS 中。 Atlassian 并未提及这些漏洞是否已被利用，但建议用户尽快修补。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/rXYgc8TUQcrUntZjf8l_wA 封面来源于网络，如有侵权请联系删除

Oracle 周二宣布在其 2024 年 7 月关键补丁更新 (CPU) 中发布 386 个新的安全补丁，其中包括 260 多个针对未经身份验证的远程可利用漏洞的补丁。 Oracle 2024 年 7 月的 CPU中发现了大约 240 个独特的 CVE ，在 95 个修复程序中，有 84 个解决了无需身份验证即可远程利用的漏洞。 金融服务应用程序也收到了大量安全补丁，共计 60 个，其中 44 个针对未经身份验证的远程可利用漏洞。接下来是 Fusion Middleware，共计 41 个修复程序，其中 32 个修复程序解决了可被远程未经身份验证的攻击者利用的问题。 Oracle 发布了 37 个 MySQL 安全补丁，其中包括 11 个针对无需身份验证即可远程利用的漏洞的补丁、20 个针对通信应用程序的补丁（14 个针对未经身份验证的远程可利用缺陷）以及 17 个针对分析的补丁（12 个针对可远程利用的未经身份验证的错误）。 还发布了针对 Siebel CRM（12 个修复程序 – 其中 11 个针对无需身份验证即可远程利用的问题）、PeopleSoft（11 – 3）、保险应用程序（10 – 7）、电子商务套件（10 – 2）、JD Edwards（8 – 6）、数据库服务器（8 – 3）、Commerce（7 – 7）、Java SE（7 – 7）和供应链（7 – 5）的安全补丁。 其他收到补丁的 Oracle 产品包括 Application Express、Essbase、GoldenGate、NoSQL 数据库、REST 数据服务、TimesTen 内存数据库、建筑和工程、企业管理器、医疗保健应用程序、Hyperion、零售应用程序、系统、公用事业应用程序和虚拟化。 值得注意的是，针对多个漏洞的补丁解决了其他 CVE，并且还发布了针对 Oracle 产品中不可利用的 CVE 的修复程序。这家科技巨头还发布了针对其产品中第三方组件的补丁。 建议 Oracle 客户尽快应用安全补丁。据了解，攻击者已经开始利用 Oracle 产品中已发布修复程序的漏洞。 “Oracle 不断收到有关恶意利用已发布安全补丁的漏洞的报告。在某些情况下，据报道攻击者之所以得逞是因为目标客户未能应用可用的 Oracle 补丁。”这家科技巨头指出。 周二，该公司还发布了Oracle Solaris中包含的第三方软件的补丁，并发布了Linux和VM Server for x86公告，其中列出了公告发布前一个月内这些产品中已解决和公布的所有 CVE。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Ue2RDUX0amI9qUx_Q6FZ0w 封面来源于网络，如有侵权请联系删除