Aggregator

添加管理员微信号：quake_360，加入技术交流群～

添加管理员微信号：quake_360，加入技术交流群～

添加管理员微信号：quake_360，加入技术交流群～

当你使用浏览器打开一个恶意网站，黑客就已经拿到了你电脑的最高系统权限，Chrome的攻击链不管是web3世界，还是web2世界都有很强大的杀伤力，欢迎大家关注Numen实验室在POC2023上的议题。

当你使用浏览器打开一个恶意网站，黑客就已经拿到了你电脑的最高系统权限，Chrome的攻击链不管是web3世界，还是web2世界都有很强大的杀伤力，欢迎大家关注Numen实验室在POC2023上的议题。

当你使用浏览器打开一个恶意网站，黑客就已经拿到了你电脑的最高系统权限，Chrome的攻击链不管是web3世界，还是web2世界都有很强大的杀伤力，欢迎大家关注Numen实验室在POC2023上的议题。

测评背景

 

 

随着数字技术的进步，网络安全行业日益发展，企业对于DevSecOps的应用和落地的需求日益增加，静态源代码安全扫描工具已成为其中的关键产品或工具。
 

2023年5月30日，OWASP中国基于目前行业内的相关调研报告以及行业共识发布了《静态源代码安全扫描工具测评基准》v2.0版本，对于静态源代码安全扫描工具的测评基准进行了升级。

在此基础上，【网安基地供应链安全检测中心】联合【武汉金银湖实验室】邀请国内外各大厂商以部署环境、安全扫描、漏洞检测、源码支持、扩展集成、产品交互以及报告输出七个维度为基准，开展“静态源代码安全扫描工具测评活动”。

 

测评详情

产品名称：Checkmarx CxEnterprise（Static Code Analyzer）

版本选择：Checkmarx CxEnterprise 9.5

测评依据：《静态源代码安全扫描工具测评基准》 v2.0

基准测评项：部署环境、安全扫描、漏洞检测、源码支持、扩展集成、产品交互、报告输出

部署环境：处理器：Inter(R) Core(TM) i5-7200U / 内存：16 GB / 硬盘：500 GB

 

测评结果

测评结果总览

本次测评从七个维度对产品进行测评，根据测评详情描述，测评结果分为：满足、部分满足和不满足。

 

平均扫描速率（单位：秒）

 

千行级样本扫描速度
 

万行级样本扫描速度

百万行级样本扫描速度
 

 

平均漏洞误报率/漏报率

漏洞误报率/漏报率结果汇总

 

作者:INSBUG 

2023年10月17日 

作者：洞源实验室

测评背景

随着数字技术的进步，网络安全行业日益发展，企业对于DevSecOps的应用和落地的需求日益增加，静态源代码安全扫描工具已成为其中的关键产品或工具。

2023年5月30日，OWASP中国基于目前行业内的相关调研报告以及行业共识发布了《静态源代码安全扫描工具测评基准》v2.0版本，对于静态源代码安全扫描工具的测评基准进行了升级。

在此基础上，【网安基地供应链安全检测中心】联合【武汉金银湖实验室】邀请国内外各大厂商以部署环境、安全扫描、漏洞检测、源码支持、扩展集成、产品交互以及报告输出七个维度为基准，开展“静态源代码安全扫描工具测评活动”。

测评详情

产品名称：SonarQube Community Edition

版本选择：SonarQube Community Edition 10.1

测评依据：《静态源代码安全扫描工具测评基准》 v2.0

基准测评项：部署环境、安全扫描、漏洞检测、源码支持、扩展集成、产品交互、报告输出

部署环境：处理器：Inter(R) Core(TM) i5-7200U / 内存：16 GB / 硬盘：500 GB

测评结果

测评结果总览

本次测评从七个维度对产品进行测评，根据测评详情描述，测评结果分为：满足、部分满足和不满足。

平均扫描速率（单位：秒）

千行级样本扫描速度

万行级样本扫描速度

百万行级样本扫描速度

平均漏洞误报率/漏报率

漏洞误报率/漏报率结果汇总 

作者:INSBUG

 2023年10月18日 

作者：洞源实验室  

1. 通告信息

近日，安识科技A-Team团队监测到Oracle发布了10月安全更新，本次更新共包含387个新安全补丁，涉及Oracle 和第三方组件中的漏洞。 对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

简述：Oracle WebLogic Server 是一个Java应用服务器，它全面实现了J2EE 1.5规范、最新的Web服务标准和最高级的互操作标准。WebLogic Server内核以可执行、可扩展和可靠的方式提供统一的安全、事务和管理服务。 漏洞名称：Oracle WebLogic Server 10月多个安全漏洞 此次更新中共包含46个针对 Oracle 融合中间件的新安全补丁，其中 35个漏洞无需身份验证即可被远程利用。其中影响Oracle WebLogic Server的部分漏洞如下：

CVE

产品

涉及组件

协议

是否远程利用

CVSS评分

影响范围

CVE-2023-22069

Oracle WebLogic Server

Core

T3、IIOP

是

9.8

12.2.1.4.0、14.1.1.0.0

CVE-2023-22072

Oracle WebLogic Server

Core

T3、IIOP

是

9.8

12.2.1.3.0

CVE-2023-22089

Oracle WebLogic Server

Core

T3、IIOP

是

9.8

12.2.1.4.0、14.1.1.0.0

CVE-2023-22101

Oracle WebLogic Server

Core

T3、IIOP

是

8.1

12.2.1.4.0、14.1.1.0.0

CVE-2023-22086

Oracle WebLogic Server

Core

T3、IIOP

是

7.5

12.2.1.4.0、14.1.1.0.0

CVE-2023-22108

Oracle WebLogic Server

Core

T3、IIOP

是

7.5

12.2.1.4.0、14.1.1.0.0

CVE-2023-2976

Oracle WebLogic Server

集中式第三方Jars（Google Guava）

无

否

7.1

12.2.1.4.0、14.1.1.0.0

CVE-2023-35116

Oracle WebLogic Server

集中式第三方Jars （jackson-databind）

无

否

4.7

12.2.1.4.0、14.1.1.0.0

CVE-2023-22069/CVE-2023-22072/CVE-2023-22089：Oracle WebLogic Server远程代码执行漏洞（严重） Oracle WebLogic Server（组件：Core）存在多个漏洞，未经身份验证的远程威胁者可通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server，成功利用这些漏洞可能导致Oracle WebLogic Server 被接管。 CVE-2023-22101：Oracle WebLogic Server远程代码执行漏洞（高危） Oracle WebLogic Server（组件：Core）存在漏洞，未经身份验证的远程威胁者可通过 T3、IIOP 进行网络访问来破坏Oracle WebLogic Server，成功利用该漏洞可能导致Oracle WebLogic Server 被接管，该漏洞的利用难度较高。 CVE-2023-22086/ CVE-2023-22108：Oracle WebLogic Server未授权访问漏洞（高危） Oracle WebLogic Server（组件：Core）存在漏洞，未经身份验证的远程威胁者可通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server，成功利用这些漏洞可能导致对关键数据的未授权访问或对所有 Oracle WebLogic Server 可访问数据的完全访问。

3. 漏洞危害

35个漏洞无需身份验证即可被远程利用。

4. 影响版本

受影响的支持版本包括： Oracle WebLogic Server版本：14.1.1.0.0 Oracle WebLogic Server版本：12.2.1.4.0 Oracle WebLogic Server版本：12.2.1.3.0

5. 解决方案

目前Oracle已经发布了相关漏洞的补丁集合，受影响用户可及时更新。 参考链接： https://www.oracle.com/security-alerts/cpuoct2023.html 临时措施： 如非必要，可以选择禁用T3 协议、IIOP协议。 禁用T3协议： 1）进入WebLogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。 2) 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl 在连接筛选器规则中输入： 127.0.0.1 * * allow t3 t3s 0.0.0.0/0 * *deny t3 t3s （注：t3和t3s协议的所有端口只允许本地访问）。 3）保存后需重新启动，规则方可生效。  禁用IIOP协议： 在WebLogic控制台中，选择【环境】>>【服务器】>>点击【AdminServer（管理）】>>【协议】>>【IIOP】，取消勾选“启用IIOP”，保存并重启WebLogic项目。

6. 时间轴

【-】2023年10月17日 安识科技A-Team团队监测到漏洞公布信息 【-】2023年10月18日 安识科技A-Team团队根据漏洞信息分析 【-】2023年10月19日 安识科技A-Team团队发布安全通告

1. 通告信息近日，安识科技A-Team团队监测到Oracle发布了10月安全更新，本次更新共包含387个新

1. 通告信息近日，安识科技A-Team团队监测到Oracle发布了10月安全更新，本次更新共包含387个新

1. 通告信息近日，安识科技A-Team团队监测到Oracle发布了10月安全更新，本次更新共包含387个新

1. 通告信息近日，安识科技A-Team团队监测到Oracle发布了10月安全更新，本次更新共包含387个新

1. 通告信息近日，安识科技A-Team团队监测到Oracle发布了10月安全更新，本次更新共包含387个新

本论文对BinaryAI底层算法进行剖析，介绍BinaryAI二进制源代码匹配算法如何实现其SCA优越性能。

近日，天津滨海新区中国信创谷、长城所的领导和专家们来京拜访星阑科技，围绕数字经济时代下企业数字化转型趋势，安全基础设施及技术体系建设，大模型落地实践应用与挑战等话题展开讨论，共探AI时代数据安全发展战略。

近日，天津滨海新区中国信创谷、长城所的领导和专家们来京拜访星阑科技，围绕数字经济时代下企业数字化转型趋势，安全基础设施及技术体系建设，大模型落地实践应用与挑战等话题展开讨论，共探AI时代数据安全发展战略。

近日，天津滨海新区中国信创谷、长城所的领导和专家们来京拜访星阑科技，围绕数字经济时代下企业数字化转型趋势，安全基础设施及技术体系建设，大模型落地实践应用与挑战等话题展开讨论，共探AI时代数据安全发展战略。

Google's Threat Analysis Group analyzes recent state-sponsored campaigns exploiting the WinRAR vulnerability, CVE-2023-38831.

Contributors: Chris Wagner and Nikki Benoit Executive Summary  LummaStealer is a Malware-as-a-Service (MaaS) that is available on the dark web. MAAS models have substantially reduced the barrier to entry in the realm of big game hunting.  Instead of executing malspam and phishing campaigns directly, developers offer their platforms to other threat actors through an ecosystem … Continued

The post An iLUMMAnation on LummaStealer appeared first on VMware Security Blog.