Java高危漏洞被再度利用 可攻击最新版本服务器

最新推荐文章于 2024-05-29 07:47:39 发布
最新推荐文章于 2024-05-29 07:47:39 发布
阅读量212 收藏
点赞数
文章标签: java python
原文链接:https://my.oschina.net/safedog/blog/638687
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

安全研究人员警告称,甲骨文在2013年发布的一个关键 Java 漏洞更新是无效的,黑客可以轻松绕过。这使得此Java高危漏洞可以被再度利用,击运行最新版本 Java 的个人计算机及服务器。甲骨文在通用漏洞评分系统上给其打出过 9.3/10 的高分。

该漏洞在通用漏洞及披露数据库中的代码为 CVE-2013-5838 ,漏洞可被远程利用,不需要授权验证即可完全入侵系统,损害其机密性、完整性、可用性。详情:http://seclists.org/fulldisclosure/2016/Mar/31

波兰公司 Security Explorations 的研究人员最早向甲骨文上报了该漏洞。他们表示,攻击者可以利用它从 Java 安全沙盒中逃逸。通常情况下,Java运行时间环境(JRE)在虚拟机中运行 Java 代码。

Security Explorations 公司首席执行官亚当·高迪亚克(Adam Gowdiak)在发给 Full Disclousure 安全邮件列表的信中称,仅仅更改2013年概念验证攻击代码中的四个字符,就可以绕过该补丁。高迪亚克的公司已经就这种攻击方式发表了一篇新的技术报告,并表示他们已经在最新版本的 Java SE 7 Update 97 、 Java SE 8 Update 74 、 Java SE 9 Early Access Build 108 上测试了这种新的利用方法。

甲骨文在2013年10月最初公布的公告中称 CVE-2013-5838 仅影响 Java 的客户端,可以通过“Java Web Start 应用沙盒和 Java 小程序沙盒”进行利用。但Security Explorations 公司表示,这种说法是错误的。

高迪亚克在发给 Full Disclosure 的信中提到,“经过验证,我们发现该漏洞还可被用于入侵服务器环境和 Java 下的 Google App Engine。”

在客户端,Java 的默认安全级别,仅允许有签名的 Java 小程序运行,而且它的点击后播放还可以作为防御手段。这些安全限制可以防止自动化的静默攻击。

如果攻击者想在最新的 Java 实例上利用这一漏洞,他们需要找到另外一个可帮助绕过安全提示的漏洞,或者说服用户在运行恶意 Java 小程序时点击允许。他们更有可能采取后一种策略。

在公开披露之前,Security Explorations 公司还未就 CVE-2013-5838 的这一最新问题通知甲骨文。高迪亚克表示,他公司的新政策是,对于已经上报给厂商的漏洞补丁,如果有问题会立即公告大众。

目前尚不清楚甲骨文是否会对这一漏洞发布紧急 Java 更新,还是会与预计于4月19日发布的第二季度关键漏洞更新一同发布。


转载于:https://my.oschina.net/safedog/blog/638687

weixin_33901926
关注
JAVA突现高危漏洞
白璐 | 产品经理
12-02 1353
——据了解,微软在最新一期信息安全研究报告中称,最近一年内,微软信息安全团队总共侦测到2750万次瞄准Java漏洞攻击,平均每季度690万次,JAVA已经成为了继Adobe之后黑客的主要攻击目标。      近日,一则Oracle公司Java Applet Rhino 脚本引擎存在远程执行代码高危漏洞的消息遭披露,该漏洞代码细节被完全公开。目前,该漏洞的演示程序已在国内多个安全论坛、主流
补丁问题导致Java高危漏洞再现 可攻击最新版服务器
weixin_34345753的博客
09-04 265
本文讲的是补丁问题导致Java高危漏洞再现 可攻击最新版服务器,安全研究人员警告称,甲骨文在2013年发布的一个关键 Java 漏洞更新是无效的,黑客可以轻松绕过。这使得此漏洞可以被再度利用攻击运行最新版本 Java 的个人计算机及服务器。 该漏洞在通用漏洞及披露数据库中的代码为 CVE-2013-5838 ,甲骨文在通用漏洞评分系统上给其打出过 9...
Java 7.x爆高危漏洞
08-29 118
据国外安全研究机构称,当前的Java版本中包含了一个严重的安全漏洞,可能导致电脑在访问带有恶意代码的特定网页时被感染。 据悉,该漏洞已经被黑客利用,目前仅是一些有针对性的攻击。但有一个漏洞已经开始流通,因此有可...
java如何攻击服务器教程_Java游戏服务器入门10 - 攻击消息的问题分析
weixin_30737899的博客
02-24 838
上一篇文章的最后我们提到了攻击消息的处理还是有些问题,其实应该还是比较严重的问题,我们来演示一下。在攻击处理器:UserAttkCmdHandler中添加一条日志打印并重启服务器if(null == targetUser){//如果没打到人,也推送一下攻击,这样客户端可以显示攻击动作,否则没有,影响体验broadcastAttrResult(attkUserId,-1);return;}//增加日...
新版 Java 惊现“年度加密漏洞”,网友:还好我只用 Java 8
moose_killer的博客
04-28 195
Java 作为当前最流行的编程语言之一,常被用于企业级应用开发中。 近日,安全公司 ForgeRock 的研究员 Neil Madden 发现在 Java 15、16、17、18 版本的 ECDSA(椭圆曲线数字签名算法)签名验证中存在一个严重漏洞,黑客可以通过该漏洞轻松地伪造 TSL 证书和签名、双因素身份验证消息等,以及对文件和其他数据进行数字签名。 对此,Neil Madden 甚至将该漏洞比作科幻剧《神秘博士》中经常出现的空白纸: 《神秘博士》中有一个反复出现的情节装置,即医生通过出示一张实际
组件攻击链ThinkCMF高危漏洞分析与利用1
08-03
《组件攻击链ThinkCMF高危漏洞分析与利用》 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,它以其灵活的应用机制和模块化设计受到广大开发者的青睐。ThinkCMF的核心理念是提供基础管理功能,同时允许开发者...
OA高危漏洞利用工具v1.2.0
08-02
java -javaagent:Exp-Tools-1.2.0-encrypted.jar -jar Exp-Tools-1.2.0-encrypted.jar 简介 该工具使用了ExpDemo-JavaFX项目,保留了核心的数据包请求接口,使用jdk8环境开发。目前只编写了oa系列,对相关漏洞进行...
《2024攻防演练必修高危漏洞集合》
最新发布
06-19
在攻防演练过程中,红队会利用各种已知和未知的漏洞来尝试突破企业的网络边界,其中高危漏洞往往成为攻击的首选目标。因此,《2024攻防演练必修高危漏洞集合》的发布对于帮助企业提前做好防御准备具有重要意义。 ##...
360提示[高危]使用存在漏洞的JQuery版本的解决方法
01-19
今天发现360给我发送了一封邮件,发现网站:使用存在漏洞的JQuery版本,黑客可以利用这个漏洞入侵您的网站。 然后到360检测查看了解决办法 但是感觉并没有什么用,而方案二的解决办法又要加群, 博主感觉这是不是...
Linux设备TCP连接曝高危漏洞 只要接入网络就可能被攻击.pdf
09-06
当设备之间的TCP连接存在漏洞时,攻击者可以利用这个弱点进行一系列恶意操作。 该漏洞被称为“of-path TCP exploits”,即攻击者无需处在通信路径中就能发起攻击。通常,TCP连接的安全性依赖于通信双方的握手过程,...
java如何攻击服务器教程_我成功攻击了Tomcat服务器之后
weixin_29790467的博客
02-24 464
Tomcat是一个开源的轻量级Web应用服务器,在我们平常工作过程中接触得非常多。代码也非常经典,很多人为了提升自己的技术也会去阅读学习Tomcat的源码。但正如著名诗人李白所说的:世界上本没有漏洞,使用的人多了,也就发现了漏洞。比如今年的2月份就爆出了存在文件包含漏洞。今天我们选择两个比较直观的Tomcat漏洞去模拟整个漏洞攻击的过程,以及漏洞为什么会产生,Tomcat大神们又是如何应对的。【...
Java 爆出 "年度加密漏洞"!网友:又多了坚持 Java 8 的理由。。
emprere的博客
05-20 146
点击关注下方公众号,架构师全套资料 都在这里0、2T架构师学习资料干货分享上一篇:图文详解你不知道的CDC技术大家好,我是互联网架构师。文 | Travis出品 | OSC开源社区(ID:oschina2013)甲骨文于推送了安全更新修复了一个漏洞,该漏洞允许攻击者伪造某些种类的 SSL 证书和握手、双因素认证信息,以及由一系列广泛使用的开放标准产生的授权凭证。这使得攻击...
Java代码漏洞检测-常见漏洞与修复建议
dzqxwzoe的博客
05-29 2564
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
java服务器如何防止攻击_防止服务器遭受拒绝服务攻击
weixin_30698949的博客
02-26 437
防止服务器遭受拒绝服务攻击拒绝服务 (Denial-of-Service, DoS) 攻击服务器的某些恶意用户发起的一种显式攻击,企图阻止合法用户使用服务。此类攻击可通过以下方式发起:向服务器发送对特定 Web 资源的连续请求。Sun Java System Web Server 可以通过监视经常访问的 URI 和拒绝的请求(如果请求频率相当)来检测 DoS 攻击。以下部分介绍了如何在虚拟服务...
WebLogic LDAP远程代码执行漏洞(CVE-2021-2109)
千寻的博客
02-11 4377
漏洞名称 WebLogic LDAP远程代码执行漏洞 漏洞编号 CVE-2021-2109 JNDI简介 JNDI是Java Naming and Directory Interface (Java命名和目录接口)的英文简写, 是为Java应用程序提供命名和目录访问服务的API (application programing interface,应用程序编程接口)。 漏洞描述 2020年11月19日,阿里云安全向Oracle官方报告了Weblogic Server远程代码执行漏洞
LDAPLDAP注入漏洞与防御
XINO
03-20 6815
含义: LDAP(Lightweight Directory Access Protocol):轻量级目录访问协议,是一种在线目录访问协议,主要用于目录中资源的搜索和查询,是X.500的一种简便的实现。随着互联网的广泛使用,web应用的数量呈爆炸式的增长,而这些应用的资源和数据呈分布式存储于目录中。通常不同的应用会有专属于自己相关数据的目录,即专有目录,专有目录数量的增长导致了信息孤岛(一种不能与其他相关信息系统之间进行互操作或者说协调工作的信息系统)的出现,系统和资源的共享及管理变得日益困难。 LDAP
Java代码审计之不安全的Java代码
ch98000的博客
09-16 3156
​ 在打靶场的同时,需要想一下如果你是开发人员你会怎样去防御这种漏洞,而作为攻击方你又怎么去绕过开发人员的防御。
JNDI注入(RMI攻击实现LDAP攻击实现)
weixin_45682070的博客
12-12 9562
0x01 JNDI 概述 JNDI是Java Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口) 简单一点理解就是:JNDI的做法,就是定义一个数据源,与系统外部的资源的引用 都可以通过JNDI定义和引用 JNDI可访问的现有的目录及服务有: DNS、XNam 、Novell目录服务、LDAP(Lightweight Dir
java 命令注入攻击_Java编程安全漏洞之:注入漏洞
weixin_34175919的博客
02-13 1689
SQL_InjectionSQL查询语句注入,来自用户的数据通过字符串拼接的方式构筑到SQL语句中。修复建议使用带占位符的预编译执行方式的SQL语句,并且,所有非程序自身的数据都不参与SQL语句的构成。修复示例如:public void SQL_Injection(HttpServletRequest request, Connection c){String text = request.get...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值