本周平安态势综述OSCS 社区共收录安全漏洞10个，其中公开破绽值得关注的是Apache Airflow Hive Provider <5.0.0 存在操作系统命令注入破绽（CVE-2022-4642…

OSCS 社区共收录安全漏洞15个，公开破绽值得关注的是 Jenkins Google Login Plugin 存在凋谢重定向破绽（CVE-2022-46683），Netty <4.1.86.Final 存在回绝…

微软官网公布了2022年10月的安全更新。本月更新颁布了96个破绽，蕴含39个特权晋升破绽、20个近程执行代码破绽、11个信息泄露破绽、8个拒绝服务破绽、5个身份…

微软官网公布了2022年08月的安全更新。本月更新颁布了141个破绽，蕴含65个特权晋升破绽、32个近程执行代码破绽、12个信息泄露破绽、7个拒绝服务破绽、7个平安…

软件吞噬世界，而开源正在吞噬软件。越来越多企业开始关注如何解决混源开发模式下的软件供应链平安问题。软件供应链安全事件频发，已成为企业发展经营流动面…

Spark 是用于大规模数据处理的对立剖析引擎。​因为 Hadoop 中”org.apache.hadoop.fs.FileUtill”类的“unTar”中针对 tar 文件的解决调了系统命令去解压，造成了 shell 命令注入的危险。​攻击者能够通过该破绽实现任意命令执行。

《那些年，互联网巨头犯过的低级谬误》第二集来啦，有请我的共事小亮，一个浙大毕业造无人机的小哥哥，给大家讲讲小学生黑掉百度外卖4900万的故事。

2021年9月8日，微软官网公布危险通告，公开了一个无关Windows MSHTML 的近程代码执行破绽。有攻击者试图通过应用特制的Office文档来利用此破绽，该破绽危险为高，腾讯平安已捕捉在朝利用样本，腾讯平安全系列产品已反对对该破绽的歹意利用进行检测拦挡，倡议Windows用户警觉来历不明的文件，防止轻易关上可疑文档。

Metasploit我的项目是一个旨在提供安全漏洞信息计算机平安我的项目，能够帮助平安工程师进行浸透测试（penetration testing）及入侵检测零碎签名开发。Metasploit我的项目最为出名的子项目是开源的Metasploit框架，一套针对近程主机进行开发和执行“exploit代码”的工具。

SSL/TLS协定信息泄露破绽(CVE-2016-2183)TLS是平安传输层协定，用于在两个通信应用程序之间提供保密性和数据完整性。 TLS, SSH, IPSec协商及其他产品中应用的DES及Triple DES明码存在大概四十亿块的生日界，这可使近程攻击者通过Sweet32攻打，获取纯文本数据。