GnuTLS 发现缓冲溢出漏洞,补丁已释出

OpenSSL替代加密库GnuTLS发现了一个缓冲溢出漏洞,可被利用执行任意代码。漏洞出 在ServerHello信息中会话ID的长度检查不正确。一个恶意配置的服务器在与设备建立HTTPS加密连接时,可通过发送超过会话ID值长度的畸形 数据触发缓冲溢出。如果设备使用的GnuTLS版本没有打上补丁,设备能被攻击者远程劫持。GnuTLS被许多流行Linux发行版和软件所使用,开发者 已在上月底发布了新版3.1.25、3.2.15和3.3.4,修复漏洞,多数发行版应该已经打上了补丁。

时间: 2024-09-19 00:24:43

GnuTLS 发现缓冲溢出漏洞,补丁已释出的相关文章

FreeBSD官方的rtld漏洞补丁终于释出(附修补方式)

[51CTO.com独家特稿]迟到大约3天之后,FreeBSD放出了官方补丁以修复那个rtld模块的问题,此0day曾通杀了7.x到8.0的FreeBSD服务器.以下是用官方补丁修复的操作步骤:大家先按各自不同的系统分别下载合适的补丁.[FreeBSD 7.x]# fetch http://security.FreeBSD.org/patches/SA-09:16/rtld7.patch# fetch http://security.FreeBSD.org/patches/SA-09:16/rt

Mozilla 全新浏览器引擎 Servo Nightly 版已释出

Servo页面渲染引擎的Nightly 版已释出!为了方便交互,我们提供了基于HTML的浏览器界面.但目前Servo引擎的页面兼容性不是太好,我们想给大家一个试用并反馈的机会.MacOS和Linux编译版已提供:Windows和Android版本很快会有. 二进制包和安装说明见: https://servo-builds.s3.amazonaws.com/index.html. 第一次运行Servo,会有一个新标签页,包含了一些可以良好渲染的网址,以及一些技术演示.可以在其它浏览器中打开这个标签

Opera:新缓冲溢出漏洞只会导致浏览器崩溃

本周四,一家名为Vupen Security的网安公司发现了Opera1 0.5及更低版本浏览器中的一个缓冲区溢出漏洞,消息发布以后,各界 纷纷表示该漏洞可能会导致严重的安全问 题,攻击者可以利用这个漏洞远程控制被攻击的电脑执行恶意代码.这家公司目前为止尚未透露该漏洞的细节,不过Opera公司的发言人则表示该漏洞只会使浏 览器崩溃,但未必会严重到可令攻击者远程执行恶意代码的程度.Opera公司的发言人 Thomas Ford表示:"我们 认为该漏洞的主要危害是会导致浏览器崩溃,而要想利用这个漏洞

Cisco Nexus 7000和7700交换机OTV缓冲区溢出漏洞 绿盟科技专家给出变通防护方案

2016年10月5日,思科官网发布了存在于Cisco Nexus 7000系列和7700系列交换机中的OTV技术存在缓冲区溢出漏洞,此漏洞编号为CVE-2016-1453.该漏洞将导致攻击者执行任意代码,或者思科交换机的全部权限.官方已经给出升级补丁,如果您的交换机暂时无法升级,绿盟科技的专家给出了变通防护方案. 该漏洞位于Overlay Transport Virtualization(OTV)技术的GRE隧道协议实现中,由于对OTV包头部的参数没有进行完整校验,导致攻击者可以通过向受影响设备

无Sockets的远程溢出漏洞利用方法

本文讲的是无Sockets的远程溢出漏洞利用方法,在本文中,我将介绍一种在一个易受攻击的远程机器上获得shell访问的简单技术(这仅仅是我个人的观点).这不是我自己创造的技术,但我发现它很有趣.所以,本文的重点是这种技术本身,而不是利用漏洞的方式. 设置你的环境 所以,为了专注于制作远程shellcode,而不是如何规避ASLR,不可执行堆栈等(这将需要大量的篇幅进行介绍),我们将在测试中禁用大多数类似的功能.一旦你准备好了shellcode,便可以重新启用ASLR保护并尝试再次进行程序的漏洞利

威胁预警通告 JavaScript引擎MuJS爆出堆栈溢出漏洞 请尽快升级最新版本

MuJS近日曝出多个堆溢出漏洞,绿盟科技给出的威胁预警级别为低级,这意味着影响较小,危害程度较小.修复方法请下载使用最新版本的MuJS: 1.使用git命令进行最新源码下载 "git clone git://git.ghostscript.com/mujs.git" 2.或到官网进行下载,链接如下https://github.com/ccxvii/mujs JavaScript引擎MuJS漏洞描述 Bug 697136 提交时间:2016年9月20日 POC及其详情见如下链接: htt

我是如何发现CCProxy远程溢出漏洞的_漏洞研究

CCProxy是一个国产的支持HTTP.FTP.Gopher.SOCKS4/5.Telnet.Secure(HTTPS).News(NNTP). RTSP.MMS等代理协议的代理服务器软件.因为其简单易用.界面友好,非常适合在对流量要求不高的网络环境中使用,所以在国内有很多初级的网管喜欢用这个软件,有时候我在公司上网也要用它做代理.前些日子我测试发现CCProxy 6.0版本存在多处缓冲区溢出漏洞,可以导致攻击者远程执行任意代码.    TIPS:什么是Gopher.RTSP.MMS?    G

八月十六日之后 Adobe Reader溢出漏洞将获得紧急补丁

Adobe系统公司说它计划发布紧急更新,修复其Reader和Acrobat产品中的一个严重安全漏洞.在周四发布的安全咨文中,Adobe说此次更新将解决其产品中的严重安全问题,包括Reader中的溢出漏洞(安全研究员Charlie Miller在上周的黑帽 大会上展示了该漏洞).Adobe说它计划在8月16日那周发布更新.这些更新 还会提供给Windows.Macintosh 和Unix.Adobe公司说,此次更新代表"额外发布". 因为Reader和Acrobat的下次常规补丁更新原定

Oracle 8i TNS Listener 缓冲区溢出漏洞

Oracle 8i TNS Listener 缓冲区溢出漏洞 (Other,缺陷)     Oracle 8i 发现重大漏洞,允许攻击者执行任意代码 详细: Oracle 8i TNS (Transparent Network Substrate) Listener 负责建立和维系客户机同 ORACLE 数据库服务的远程连接.发现该 Listener 存在缓冲区溢出漏洞.攻击者成功利用此漏洞,将能在数据库服务器上执行任意代码. 更为糟糕的是,缓冲溢出发生在验证之前,这意味着激活了口令保护机制的