Aggregator

Telefónica Database Allegedly Leaked by Threat Actors DNA, grep, prx, and Rey

A vulnerability was found in Thomson SpeedTouch up to 585 5.3.2.6.0. It has been classified as problematic. Affected is an unknown function. The manipulation of the argument name leads to basic cross site scripting. This vulnerability is traded as CVE-2006-0946. It is possible to launch the attack remotely. Furthermore, there is an exploit available.

The most recent iteration of the open source infostealer skates by antivirus programs on Macs, using an encryption mechanism stolen from Apple's own antivirus product.

Medusind, a medical billing provider, disclosed a data breach that occurred in December 2023 and affected over 360,000 individuals. Medusind is a company that provides medical billing, coding, and revenue cycle management (RCM) services to healthcare organizations, including medical practices, dental practices, and other providers. The company disclosed a data breach discovered on December 29, […]

A vulnerability was found in audimexEE 14.1.7 and classified as critical. This issue affects some unknown processing. The manipulation of the argument p_table_name leads to sql injection. The identification of this vulnerability is CVE-2023-36361. The attack can only be initiated within the local network. There is no exploit available.

A vulnerability classified as critical was found in Linux Kernel up to 5.11.20/5.12.3. Affected by this vulnerability is an unknown functionality of the component ASoC. The manipulation leads to denial of service. This vulnerability is known as CVE-2021-47037. Access to the local network is required for this attack to succeed. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Linux Kernel up to 6.7.2 and classified as critical. Affected by this vulnerability is the function dm_execute_dmub_cmd of the component AMD Display. The manipulation leads to deadlock. This vulnerability is known as CVE-2023-52485. The attack can only be initiated within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Linux Kernel up to 5.12.3 and classified as problematic. Affected by this vulnerability is the function adf_vf2pf_shutdown of the component Crypto. The manipulation leads to improper initialization. This vulnerability is known as CVE-2021-47056. The attack needs to be initiated within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Linux Kernel up to 5.4.118/5.10.36/5.11.20/5.12.3. It has been classified as problematic. Affected is the function calibrate_delay of the component m68k. The manipulation leads to improper initialization. This vulnerability is traded as CVE-2021-47016. The attack can only be done within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, was found in Linux Kernel up to 5.12.6. Affected is an unknown function of the component btrfs. The manipulation leads to permission issues. This vulnerability is traded as CVE-2021-47072. Access to the local network is required for this attack to succeed. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, was found in argocd up to 2.8.11/2.9.0/2.9.7/2.10.0/2.10.2. Affected is an unknown function of the component URL Protocol Handler. The manipulation leads to cross site scripting. This vulnerability is traded as CVE-2024-28175. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical was found in Linux Kernel up to 6.1.75/6.6.14/6.7.2. This vulnerability affects the function memmove of the component erofs. The manipulation leads to buffer overflow. This vulnerability was named CVE-2023-52497. The attack needs to be done within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, was found in Linux Kernel up to 5.10.39/5.12.6. This affects the function do_mq_timedsend::__pipelined_op of the component mqueue. The manipulation leads to null pointer dereference. This vulnerability is uniquely identified as CVE-2021-47069. The attack can only be done within the local network. There is no exploit available. It is recommended to upgrade the affected component.

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。 在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ 如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。 在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ 如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。 在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ 如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。 在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ 如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。 在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ 如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。 在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ 如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点