<object id="1jvdl"><nobr id="1jvdl"></nobr></object>

<object id="1jvdl"><sup id="1jvdl"></sup></object>
<tr id="1jvdl"></tr>

  • <center id="1jvdl"></center>

      <object id="1jvdl"><option id="1jvdl"><sub id="1jvdl"></sub></option></object>

          <big id="1jvdl"><nobr id="1jvdl"></nobr></big><code id="1jvdl"><em id="1jvdl"><track id="1jvdl"></track></em></code>
          1. 首頁 > 信息安全 > 正文

            微軟發現與Log4j相關的高危漏洞

            2022-01-24 11:19:57  來源:新浪科技

            摘要:Jonathan Bar Or在 Twitter 上解釋說,當他在尋找 Log4j漏洞利用嘗試時,他注意到來自 serv-u exe 的攻擊。 仔細觀察發現,可以向 Ssrv-U 提供數據
            關鍵詞: Log4j 漏洞
              微軟表示,在尋找 Log4j 漏洞時發現了 SolarWinds Serv-U 軟件先前未披露的問題。
             
              Jonathan Bar Or在 Twitter 上解釋說,當他在尋找 Log4j漏洞利用嘗試時,他注意到來自 serv-u.exe 的攻擊。 仔細觀察發現,可以向 Ssrv-U 提供數據,它會用你未經處理的輸入構建一個 LDAP 查詢!這可以用于 log4j 攻擊嘗試,也可以用于 LDAP 注入。
             
              Solarwinds 立即響應、調查并修復了。#vulnerability微軟后來發布了一篇關于這個問題的博客,被追蹤為 CVE-2021-35247,并表示這是一個“輸入驗證漏洞,它可能允許攻擊者在給定一些輸入的情況下構建一個查詢,并在沒有衛生條件的情況下通過網絡發送該查詢。”
             
              SolarWinds在他們的咨詢中表示,LDAP 身份驗證的 Serv-U 網絡登錄屏幕允許未充分凈化的字符。
             
              “SolarWinds 已更新輸入機制以執行額外的驗證和清理。由于 LDAP 服務器忽略了不正確的字符,因此未檢測到下游影響”該公司表示,并補充說它會影響 15.2.5 和以前的版本。
             
              NTT Application Security 的 Ray Kelly 說:“考慮到 SolarWinds 是在 之前影響數千名客戶的漏洞之后出現的,該漏洞令他感到驚訝和擔憂。 ”
             
              “鑒于 Log4j 披露是在 12 月發布的,這個開源漏洞應該是 SolarWinds 的重中之重。雖然 SolarWinds 似乎不易受到漏洞組件的利用,但它仍然不是您的軟件產品中需要的東西, ”Kelly說。
             
              “大多數應用程序安全產品都可以檢測到 Log4j 漏洞,使開發人員能夠快速識別和修復問題。”
             
              微軟敦促客戶應用 SolarWinds 公告中解釋的安全更新,并表示客戶可以使用他們的工具來識別和修復存在漏洞的設備。他們補充說,Microsoft Defender Antivirus 和 Microsoft Defender for Endpoint 還可以檢測與該活動相關的行為。
             
              Netenrich 的 John Bambenek 補充說,微軟的警告和 SolarWinds 的快速響應時間代表了需要如何處理漏洞的積極例子。 “這是我們需要的那種漏洞和研究合作,在這種情況下,一家能夠看到攻擊的大型科技公司與軟件公司聯系,并迅速將修復程序投入生產,”Bambenek說。

            第三十四屆CIO班招生
            國際CIO認證培訓
            首席數據官(CDO)認證培訓
            責編:zhangwenwen

            免責聲明:本網站(http://www.instituteofdigitalmarketingusa.com/)內容主要來自原創、合作媒體供稿和第三方投稿,凡在本網站出現的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
            本網站刊載的所有內容(包括但不僅限文字、圖片、LOGO、音頻、視頻、軟件、程序等)版權歸原作者所有。任何單位或個人認為本網站中的內容可能涉嫌侵犯其知識產權或存在不實內容時,請及時通知本站,予以刪除。

            天天狠天天天天透在线

            <object id="1jvdl"><nobr id="1jvdl"></nobr></object>

            <object id="1jvdl"><sup id="1jvdl"></sup></object>
            <tr id="1jvdl"></tr>

          2. <center id="1jvdl"></center>

              <object id="1jvdl"><option id="1jvdl"><sub id="1jvdl"></sub></option></object>

                  <big id="1jvdl"><nobr id="1jvdl"></nobr></big><code id="1jvdl"><em id="1jvdl"><track id="1jvdl"></track></em></code>