問題:
早上收到郵件 ,uscert 報告了 postgresql jdbc 驅動程式的嚴重漏洞。 該漏洞允許攻擊者通過遠端執行**來控制易受攻擊的系統。
分析:
剛開始以為是以下2個版本授影響,後來發現是,在這2個版本將修復
·
prior to 42.2.25
·
prior to 42.3.2
結論:
從postgresql官網上看,目前只有jdk8 的驅動出到了42.3.2 , 而jdk6 和 jdk 7 的驅動最新的也只是42.2.24.
所以,非要避免這個漏洞,如果是用 jdk 8 建議將驅動換成42.3.2 版本 , 如果是用的
jdk6 和 jdk 7 則需要等驅動 42.2.25出來或者更換到
。參考:
來自為知筆記(wiz)
CVE 2018 8373相關利用雜談
前段時間趨勢披露了vbs引擎的在野0day cve 2018 8373,當時中心第一時間披露了該次攻擊和darkhotel的關聯,上週花了段時間將該漏洞的exp構造出來,如下所示,目前來看uaf佔位上不是太穩定,後續會繼續改進,構造exp的時候遇到一些坑,遂找時間記錄一下。利用思路上趨勢的文章中其實...
upload labs 第20關記錄
1 嘗試各種姿勢上傳,全部失敗,檢視提示如下 好吧,審計一下 看下 empty函式 檢查一下變數是否為空 返回值 如果變數是非零非空的值返回false,否則返回true 三運運算子 expr1 expr2 expr3 如果條件expr1 成立,執行expr2,否則執行expr3 end函式 將內部指...
與Web2 0相關部分社會軟體簡介
一文中提到 web2.0是以 flickr craigslist linkedin tribes ryze friendster del.icio.us 43things.com 等 為代表,以blog tag sns rss wiki等社會軟體的應用為核心,依據六度分隔 xml ajax 等新理論...