Apache Traffic Server 在最新版本中修补关键漏洞
阿帕奇软件基金会(Apache Software Foundation)发布了阿帕奇流量服务器(Apache Traffic Server)的安全更新,解决了可能使用户遭受一系列网络攻击的三个关键漏洞。 这些漏洞影响到 9.0.0 至 9.2.5 版和 10.0.0 至 10.0.1 版,包括缓存中毒和潜在的权限升级。 CVE-2024-38479 (CVSS 7.5): 缓存密钥插件漏洞 此漏洞允许攻击者操纵缓存密钥插件,可能导致缓存中毒攻击。 通过向服务器缓存注入恶意内容,攻击者可将用户重定向到钓鱼网站或发送恶意软件。 CVE-2024-50305 (CVSS 7.5): 主机字段漏洞 特制的「Host」字段值可引致Apache Traffic Server 崩溃。 此阻断服务漏洞可被利用来干扰网站的可用性及影响合法用户。 CVE-2024-50306 (CVSS 9.1): 启动时的权限升级 此高严重漏洞源于一个未检查的回传值,可能允许Apache Traffic Server在启动时保留较高的权限。 利用此漏洞,攻击者可对服务器及其数据进行重大控制。 缓解措施 Apache 软件基金会敦促所有用户立即更新其安装。 9.x 分支的用户应升级到 9.2.6 或更高版本,而运行 10.x 分支的用户应升级到 10.0.2 或更高版本。 转自安全客,原文链接:https://www.anquanke.com/post/id/301930 封面来源于网络,如有侵权请联系删除
黑客利用软件配置错误实现对 Hadoop 和 Flink 的加密劫持
Aqua Security披露了Apache产品的安全漏洞。 网络安全研究人员发现一种新型攻击,利用Apache Hadoop和Flink软件中的配置缺陷,在目标系统上部署了加密货币矿工。 Aqua Security的研究人员在1月8日发布的报告中指出:“由于攻击者采用shell程序和rootkit来隐匿恶意软件,因此这次攻击具有特殊的迷惑性。” 该恶意软件会删除特定目录的内容并修改系统配置,以规避检测。 Apache Hadoop感染链利用了YARN(Yet Another Resource Negotiator)资源管理器的配置错误,该资源管理器负责追踪集群中的资源并调度应用程序。 具体而言,这一缺陷允许未经身份验证的远程攻击者通过特制的HTTP请求执行任意代码,具体效果取决于用户在执行代码的主机上的权限。针对Apache Flink的类似攻击同样针对错误配置,该配置允许远程攻击者在无需任何身份验证的情况下执行代码。 这些漏洞并非新现象,先前曾有组织以经济利益为动机(例如TeamTNT)利用这些漏洞进行攻击,以在Docker和Kubernetes中进行加密劫持和其他恶意活动而声名鹊起。然而,最新的攻击引人注目的地方在于,在成功渗透Hadoop和Flink应用程序后,攻击者使用rootkit来隐匿加密货币挖掘过程。 攻击始于攻击者发送未经身份验证的请求以部署新应用程序,随后向YARN发送POST请求,要求执行特定命令以启动该新应用程序。该命令的目的是在执行过程中清空/tmp目录下的所有现有文件,从远程服务器下载名为“dca”的文件并执行,最后再次清空/tmp目录下的所有文件。 运行的代码是一个打包的ELF二进制文件,该文件加载了两个rootkit和一个门罗币矿工二进制文件。为了确保攻击的持久性,攻击者创建了一个cron作业,用于下载并执行部署“dca”二进制文件的shell脚本。 通过对攻击者基础设施的分析,发现用于下载有效负载的服务器在2023年10月31日注册。 为缓解此类攻击,建议组织部署基于代理的安全解决方案,以检测加密货币挖矿程序、rootkit、打包的二进制文件以及其他可疑活动。 转自安全客,原文链接:https://www.anquanke.com/post/id/292629 封面来源于网络,如有侵权请联系删除
Apache Http Options 请求方法存在安全漏洞,可致内存信息泄漏
HackerNews.cc 9 月 18 日消息,安全研究人员 HannoBöck 于近期发现 Apache HTTP OPTIONS 请求方法存在一处安全漏洞( CVE-2017-9798 ),允许攻击者在网站管理员尝试使用无效的 HTTP 方法进行 “Limit” 指令请求时,远程窃取服务器内存信息。目前,官方认定漏洞危险等级为【中危】。 影响范围: ο Apache HTTP 软件 2.2.34/2.4.27 之前版本 解决方法: ο 研究人员已在线发布漏洞概念验证( PoC ) ο 各发行版本厂商陆续发布更新,建议运行 Apache Web 服务器的用户升级至最新版本。 更多详细内容: ο 原文详细报告《Optionsbleed – HTTP OPTIONS method can leak Apache’s server memory》 原作者:HannoBöck,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
知名搜索引擎 Ask.com 服务器日志意外公开,泄漏 237.9GB 搜索记录
据外媒报道,近日知名英文搜索引擎 Ask 因未知原因导致其 Apache 服务器状态面向公众公开,几乎所有人都能看到 Ask.com 上的实时搜索记录 。 这一问题由研究员 Paul Shapiro 在本月 7 号发现,目前尚不清楚这些数据对外公开了多久,而分析显示 Ask 服务器曾在三天前重新启动,或许就是在重启之后服务器页面才被意外地暴露。 据统计,被公开的页面显示了服务器重置以来人们搜索的所有细节 —— 440 万条大约 237.9GB 的搜索记录等等。 所幸,这并非安全威胁。虽然通过日志能够清楚看到人们在搜索着什么,但这一页面并未暴露用户 IP 等进一步隐私信息 。事实上,日志中记录的均是内部 IP 地址,亦有可能是内部防火墙地址。 目前,被暴露的搜索记录页面已无法访问。 原作者:Gabriela Vatu, 译者:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。转载请注明“转自 HackerNews.cc ” 并附上原文链接。
Struts2 S2-045漏洞补丁有绕过?S2-046 来袭
就在两个星期前的 3 月 6 日,Apache 发布公告称旗下 J2EE 框架 Strtus2 存在远程代码执行漏洞,并将此漏洞编号为 S2-045,漏洞级别为高危。 在官方发布公告后,有黑客随即公布了该漏洞利用方法,仅漏洞公布后 24 小时内,知道创宇旗下云防护产品创宇盾即截获针对平台防护网站的 6 万余次攻击,且随着漏洞利用方法的大范围扩散,攻击次数急剧上升,并在利用方法公布 13 个小时内,疑似高级黑客已完成全球网站扫荡,期间知道创宇监控到大量网站因该漏洞被黑。 事情延续到 3 月 20 日,刚好是 S2-045 漏洞公开 2 个星期,Apache 在次发布公告,Struts2 再次发现漏洞,官方将最新补丁命名为 S2-046,从公布的补丁说明来看,该补丁和 S2-045 的 CVE 编号一致约为 CVE-2017-5638。 S2-046 公布后,经过知道创宇安全团队确认,创宇盾平台可不用升级即可防御针对 S2-046 漏洞的攻击,使用创宇盾的用户网站可直接防御,客户如有需可,可根据官方最新补丁公告升级 Struts2 版本至 2.5.10.1。 稿源:西盟科技资讯,封面源自网络
Struts2 漏洞公开 24 小时,日本已列境外黑客攻击规模之最
近日,Apache 官网公布编号为 S2-045 的 Struts 远程代码执行漏洞,漏洞级别为高危。 据知道创宇云安全平台监测数据显示,从 7 日中午 12 时,出现大规模攻击,晚上 2 点达到峰值,随后持续高频率攻击。而此次攻击数量增加的原因为【S2-045】Struts 漏洞的 poc 被公开。 【S2-045】Struts 漏洞触发点主要存在使用基于 Jakarta 插件的文件上传功能,该漏洞可直接通过浏览器在远程服务器上执行任意系统命令,将会对受影响站点造成严重影响,引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。 数据显示,此次知道创宇云安全平台拦截漏洞 6 万余次,其中境内攻击占总拦截攻击的 90%。 境外攻击中,日本、韩国、美国的攻击数量排在前列。 据第三方数据显示,互联网企业、政府网站、金融电商等网站受此次攻击影响最为严重。 漏洞公告发布后,知道创宇 404 实验室积极防御小组立即启动了应急预案,分析确认旗下云防御平台创宇盾依托于独有的入侵行为识别引擎,无须升级安全策略即可有效拦截利用该漏洞的攻击。此次攻击影响范围极广,危害严重,知道创宇云安全呼吁网站管理员及时升级,同时也可接入创宇盾进行安全防护。 稿源:知道创宇云安全,封面源自网络