广为使用的OpenLiteSpeed web服务器软件受多个高危漏洞影响

最新推荐文章于 2024-02-18 23:45:00 发布
最新推荐文章于 2024-02-18 23:45:00 发布
阅读量432 收藏
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247514622&idx=2&sn=0f8d29260f7ae63a6d06f75daaa38143&chksm=ea948894dde30182bba06a1875b8b1ca96a79882cc07c7b88c953b96da74b63290195ef657e7&scene=126&&sessionid=0
版权

48e142cedf5cb25c3c1b5db984fdbd46.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

125e5cd5e9b9ba1cf4bd3f4dd803443f.gif

开源的OpenLiteSpeed Web Server 及其企业版本中存在多个高危漏洞,可被用于实现远程代码执行。

Palo Alto Networks Unit 42 发布报告称,“通过结合利用这些漏洞,攻击者可攻陷这些 web 服务器并获得完整的远程代码执行权限。” OpenLiteSpeed 是LiteSpeed Web Server 的开源版本,是第六大最热门的web服务器,全球用户达到190万名。

在这三个漏洞中,第一个是目录遍历漏洞(CVE-2022-0072,CVSS 5.8),可悲用于访问web root目录中的被禁文件。余下的两个漏洞是CVSS评分为8.8的CVE-2022-0073和CVE-2022-0074,分别和权限提升和命令注入有关,可组合用于实现提升权限的代码执行后果。

研究人员指出,攻击者如果能够设法获得对仪表盘的凭据,无论是暴力破解还是社工,都可利用CVE-2022-0073在服务器上执行代码。

OpenLiteSpeed(从1.5.11到1.7.16)和 LiteSpeed(从5.4.6到6.0.11)的多个版本均受这些漏洞影响,目前漏洞已在2022年10月4日发布的版本1.7.16.1和6.0.12中修复。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

微软GitHub Copilot 被诉违反开源许可条款和侵犯开发人员权益

速修复!热门开源库SQLite Database中的这个严重漏洞已存在22年,影响所有版本

谷歌推出开源计划GUAC,保护软件供应链安全

LofyGang 组织利用200个恶意NPM包投毒开源软件

微软:Lazarus 组织正在利用开源软件

原文链接

https://thehackernews.com/2022/11/multiple-high-severity-flaw-affect.html

题图:Pixabay License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

146c3a249402994f3968456230d2f633.jpeg

432d47b2934191d7e8736054ea4c99a1.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   78f7e28710e4bc888c76848790ae12c5.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LiteSpeed Web Server Source Code Information Disclosure Vulnerability
cnbird's blog
06-15 939
LiteSpeed Web Server Source Code Information Disclosure Vulnerability
vulnhub-durian
HEAVEN569的博客
02-14 792
靶机:durian 下载地址:http://www.vulnhub.com/entry/durian-1,553/ 实验机:kali 2020 windows 10 1.信息收集 1.nmap信息收集 sudo nmap -sS -sV -sC 10.7.184.0/24 //收集信息 得到信息 目标的ip:10.7.184.6 开启的端口和服务 22/tcp ssh , 80/tcp http ,8088/tcp radan-http 7080/t......
实战打靶集锦-024-Seppuku
阿尔泰野狼的博客
02-18 849
本文记录了博主的一次打靶经历,涉及密码爆破、ssh key登录、rbash绕过等
有意思的CVE-2022-0337复现
蚁景网安学院
04-23 837
前两天在刷tw,看到了个比较有意思的一个CVE漏洞,价值奖励是10000美刀,比较好奇的是价值10000美刀的漏洞是什么样子的,漏洞利用就是需要在浏览器中进行用户交互才能触发该漏洞,但由于 Windows 的文件保存默认为接,通过使用强制您按 ENTER 约 2 秒的技巧简单地泄漏数十个环境变量。
[转载.增评]Apache Nginx lighttpd HAProx Litespeed 缓冲原理解析fastcgi性能
javasogo
08-27 125
由于最近在忙于web server的开发,对于静态部分跟动态部分的交互一直迟迟未定,缓冲区大小也一直很头疼,看了下面的这篇文章觉得不错,我还是这样觉得,简单的就是最好 的,但并不意味着所有处理都用一种方式,正如我在静态输出的socket buffer上面一样,我是根据请求内容的大小来决定缓冲区分配的,即使这样作在系统内部会形成一次内存拷贝(socket回去处理),但是相对于网络的 延迟速度...
使用myeclipse集成struts,hibernate,spring的一个示例程序
03-03
一、整体架构介绍在软件工程领域,为了降低模块耦合度,提高模块的可重用性,分层一直是广为采纳的一个方法。其实分层还可以使开发人员专注于某一层进行开发,使得软件开发的分工变细,提高生产效率(这一点上堪比...
Linux的安全漏洞与防范措施
07-29
LINUX是一种当今世界上广为流行的免费操作系统,它与UNIX完全兼容,但以其开放性的平台,吸引着无数高等院校的学生和科研机构的人员纷纷把它作为学习和研究的对象。这些编程高手在不断完善LINUX版本中网络安全功能。...
服务器硬件测试方法.docx
12-19
内存性能测试可以使用 STREAM 等工具进行测试,STREAM 是业界广为流行的综合性内存带宽实际性能测量工具之一。随着处理器处理核心数量的增多,内存带宽对于提升整个系统性能越发重要。 IO 性能测试是服务器硬件测试...
广为使用的为什么是串行信号
06-07
1.早期信号并行比串行使用广泛。 2.现在PCIe,SATA,MIPI,HDMI,多采用串行数据传输。 3.从起源到原理解释高速信号使用串行的发展历程
2022年中国软件行业基准数据CSBMK-202210PDF下载
09-09
CSBMK中国软件行业基准数据,是目前在实际软件成本评估工作中被使用次数最多、被广为认可的基准数据。本行业基准数据库主要服务于软件组织的生产及运维过程管理与改进、信息化工程造价估算、信息化工程监理和审计等...
2023 年 中国软件行业基准数据(CSBMK-202310)
02-15
从 2016 年开始,北京软件造价评估技术创新联盟与中国电子技术标准化研究院、北京软件和信息服务交易所等单位...CSBMK中国软件行业基准数据,是目前在实际软件成本评估工作中被使用次数最多、最被广为认可的基准数据。
免费绿色 三菱pcl+凸轮运算+gxwork2软件
最新发布
06-07
关于三菱plc凸轮的研究,资料来自某个朋友做的项目,不收取积分,希望大家互相广为分享
mac下多个php版本快速切换的方法
12-18
php是为了快速构建一个web页面而迅速被大家广为的开源语言,通过不断发展已经有了很多的php开源系统,满足了目前大部分用户的站点需求。1995年初php诞生到现在已经存在多个版本,并且每个版本都属于一个系列,...
mac os快速切换多个PHP版本的方法
12-20
php是为了快速构建一个web页面而迅速被大家广为的开源语言,通过不断发展已经有了很多的php开源系统,满足了目前大部分用户的站点需求。1995年初php诞生到现在已经存在多个版本,并且每个版本都属于一个系列,...
WEB之困:现代WEB应用安全指南
07-17
《web之困:现代web应用安全指南》在web安全领域有“圣经”的美誉,在世界范围内被安全工作者和web从业人员广为称道,由来自google chrome浏览器团队的世界顶级黑客、国际一流安全专家撰写,是目前唯一深度探索现代...
Web安全—目录遍历漏洞&数据包分析(持续更新)
weixin_44431280的博客
03-23 3445
Web安全—目录遍历漏洞&数据包分析 前言:本文主要记录目录遍历漏洞相关知识,后面会通过wireshark对涉及到目录遍历的一个数据包进行简单分析。 一:目录遍历漏洞 原理:功能设计中,需要将访问的文件设为变量,当前端发起一个请求时,便会将参数的值(文件名称)提交给后端处理,如果后端没有对输入的值进行严格的安全过滤,则攻击者则可以输入…/…/这样的手段访问系统上的其他文件,从而导致目录遍历。(其原理和文件包含,不安全的文件下载基本一致) 危害:导致系统敏感文件被读取,可结合其他漏洞对目标进行渗透和利
Web 安全漏洞之目录遍历
GJ_ia的博客
01-14 511
第一次接触到目录遍历漏洞还是在 ThinkJS 2 的时候。代码如下图,目的是当用户访问的 URL 是静态资源的时候返回静态资源的地址。其中pathname就是用户访问的 URL 中的路径,我们发现代码中只是简单的解码之后就在22行将其与资源目录做了拼接,这就是非常明显的目录遍历漏洞了。为什么这么说呢?假设用户访问的 URL 是的话最终返回的文件地址就会变成的上三层目录中的文件了。
Litespeed添加和管理虚拟主机教程
cnbird's blog
02-18 1795
Litespeed添加和管理虚拟主机教程
Web安全知多少
weixin_30896511的博客
08-05 1094
随着Web2.0、网络社交等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中,越来越多的应用都架设在Web平台上。Web业务的迅速发展吸引了黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得...
软件开发编码规范模板
07-27
下面是一个简单的软件开发编码规范模板,你可以根据自己的需求和团队的要求进行修改和定制: 1. 命名规范: - 变量、函数和类名使用有意义的名称,遵循驼峰命名法或下划线命名法。 - 避免使用缩写和简写,除非是广为的行业术语。 2. 缩进和空格: - 使用统一的缩进风格,比如使用四个空格或者一个制表符。 - 在运算符两边和逗号后面添加一个空格,提高代码的可读性。 3. 注释规范: - 在关键代码块前添加注释,解释其作用和意图。 - 使用自然语言描述代码的功能和用途。 - 在函数、方法和类的定义处添加注释,描述其输入、输出和功能。 4. 函数和方法规范: - 函数或方法应该尽量做到单一责任原则,只完成一个具体任务。 - 使用有意义的函数名,表达其功能和目的。 - 添加函数注释,描述函数的输入、输出和功能。 5. 异常处理: - 对可能抛出异常的代码进行适当的异常处理,避免程序崩溃。 - 使用具体的异常类型,并添加适当的错误处理逻辑。 6. 代码复用: - 尽量避免重复代码,将常用的代码块封装成函数或类,提高代码的可维护性。 - 使用模块化的方式组织代码,将功能相似的代码放在同一个模块中。 7. 版本控制: - 使用版本控制工具进行代码管理,并遵循分支管理策略。 - 提交代码前进行代码审查,确保代码质量和规范。 请注意,这只是一个简单的模板,实际的编码规范应根据项目和团队需求进行定制。编码规范的目的是提高代码的可读性、可维护性和团队协作能力,因此在制定编码规范时应考虑到团队成员的实际情况和项目的特点。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值