Aggregator

随着软件开发的复杂性和规模不断增加，确保软件的安全性已成为一项至关重要的任务。近年来，企业在软件系统开发中开源 […]

数字时代的软件开发普遍遵循敏捷实践，发布和部署周期都很短，开发团队非常依赖开源来加速创新迭代速度。因此，对团队 […]

思科（Cisco）披露，其两款已终止服务的小型商务SPA 300和SPA 500系列IP电话中，基于Web的管理界面存在多个关键的远程代码执行零日漏洞。 目前思科没有为这些设备提供修复补丁，使用这些产品的用户需要转移使用更新的、仍在支持的型号上。 五个漏洞详情 思科披露了五个漏洞，其中三个被评为严重（CVSS v3.1评分：9.8），两个被归类为高严重性（CVSS v3.1评分：7.5）。严重漏洞被跟踪为CVE-2024-20450、CVE-2024-20452和CVE-2024-20454。这些缓冲区溢出漏洞允许未经身份验证的远程攻击者通过向目标设备发送特别构建的 HTTP请求，以root权限在底层操作系统上执行任意命令。 “如果成功利用此漏洞，攻击者可能会溢出内部缓冲区，并在根权限级别执行任意命令，”思科在公告中警告说。 两个高严重性漏洞是CVE-2024-20451和CVE-2024-20453。它们是由于对HTTP数据包的检查不充分引起的，这允许恶意数据包在受影响的设备上造成拒绝服务。 思科指出，这五个漏洞都会影响在SPA 300和SPA 500系列IP电话上运行的所有软件版本。无论电话配置如何，漏洞彼此独立，可以被单独利用。 已终止服务 根据思科公司的支持门户提供的信息，SPA 300产品最后一次销售给客户是在2019年2月，并且在三年后，即2022年2月，思科停止了对这个产品的技术支持。对于SPA 500型号的产品，供应商在2020年6月1日这一天，既停止了对该型号硬件的销售，也结束了对它的技术支持。值得注意的是，思科将继续为持有服务合同或特殊保修条款的客户保障SPA 500产品，直到2025年5月31日。 对于SPA 300产品，自2024年2月29日起，思科不再提供保障。 两者都不会获得安全更新，因此建议用户过渡到更新的受支持型号，例如Cisco IP Phone 8841或Cisco 6800系列的型号。 思科还提供技术迁移计划（TMP），允许客户以旧换新符合条件的产品并获得新设备的信用额度。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/jDKOHdqHFDGSWLXmY-22_g 封面来源于网络，如有侵权请联系删除

近日，在美国历史上一个关键的选举时刻即将到来之际，据独家情报透露，前总统唐纳德·特朗普获得了一次令人瞩目且空

以色列的摩萨德，正式名称为情报与特种作战研究所，是该国的国家情报机构，常简称为摩萨德。

Футбольный клуб оказался жертвой BEC мошенничества.

根据最近的一项报告，对将近3000位首席财务官（CFO）和首席信息官（CIO）进行了调查，其中包括来自澳大利亚的250位受访者，该报告显示，越来越多的首席财务官开始参与到了信息技术产品的采购决策过程中。

现代和起亚去年二月向数百万辆汽车提供免费软件更新，以应对 TikTok 上病毒式传播的“起亚挑战（Kia Challenge）”视频。现代和起亚汽车被盗非常容易，2015-2019 年款的现代和起亚汽车缺乏电子防盗控制系统以阻止盗车贼闯入和绕过点火装置，其它厂商同期车型该功能几乎是标配。现代及其子公司起亚释出的软件更新，将警报声长度从 30 秒延长到 1 分钟，且需要车钥匙插入点火开关才能启动汽车。在一年半之后，现代和起亚被盗率大幅下降。2020 年出到 2023 年上半年，现代和起亚车型盗窃案增加了 1000% 以上。如今根据新数据，相比未升级的同型号同年份车型，升级软件的车型整车盗窃保险索赔降低了 64%。现代公司的发言人表示，有 61% 符合条件的车型升级了软件，逾 200 万辆汽车获得了软件更新。

A critical security vulnerability has been discovered in OpenSSH implementations on FreeBSD systems, potentially allowing attackers to execute remote code without authentication. The vulnerability, identified as CVE-2024-7589, affects all supported versions of FreeBSD. The issue stems from a signal handler in the SSH daemon (sshd) that may call logging functions that are not async-signal-safe. This […]

The post Critical OpenSSH Vulnerability in FreeBSD Let’s Attackers Gain Root Access Remotely appeared first on Cyber Security News.

今天给大家推送一个强大的开源情报搜索工具​：Intelligence X

A CVSS score 3.8 AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N severity vulnerability discovered by 'Viacheslav Moskvin' was reported to the affected vendor on: 2024-08-12, 60 days ago. The vendor is given until 2024-12-10 to publish a fix or workaround. Once the vendor has created and tested a patch we will coordinate the release of a public advisory.

A vulnerability was found in Team Johnlong Raiden MAILD Remote Management System up to 5.01 and classified as critical. This issue affects some unknown processing. The manipulation leads to relative path traversal. The identification of this vulnerability is CVE-2024-7693. The attack may be initiated remotely. There is no exploit available.

A vulnerability has been found in TeamT5 ThreatSonar Anti-Ransomware up to 3.4.5 and classified as critical. This vulnerability affects unknown code. The manipulation leads to unrestricted upload. This vulnerability was named CVE-2024-7694. The attack can be initiated remotely. There is no exploit available.

公司简介 | 我要投稿