绿盟科技威胁周报(2024.04.15-2024.04.21)
内容提要
绿盟科技CERT监测到Oracle修复了WebLogic Server中的信息泄露漏洞,Palo Alto Networks修复了PAN-OS中的命令注入漏洞。此外,还有关于Electron安全、OWASP开源软件风险清单、Node.js命令注入漏洞、Git-Secrets使用、黑客入侵天眼公司、XZ后门事件、iOS零点击漏洞、Palo Alto Networks防火墙零日漏洞的报道。
关键要点
-
绿盟科技CERT监测到Oracle修复了WebLogic Server中的信息泄露漏洞(CVE-2024-21006/CVE-2024-21007)。
-
Palo Alto Networks修复了PAN-OS中的命令注入漏洞(CVE-2024-3400),该漏洞CVSS评分为10.0。
-
Electron安全发展态势受到关注,XZ后门事件引发供应链安全担忧。
-
OWASP发布了开源软件风险清单TOP 10,旨在帮助企业用户解决开源软件组件安全问题。
-
Node.js披露了一个高危命令注入漏洞(CVE-2024-27980),可能允许攻击者在Windows设备上执行恶意代码。
-
Git-Secrets工具可防止将敏感信息意外上传至Git库,但可能存在误报。
-
黑客成功入侵天眼公司,窃取大量美国国家安全机密数据。
-
XZ后门事件可能不是孤立事件,OpenJS基金会发出警告。
-
黑客在暗网上以200万美元出售iOS零点击漏洞,建议用户注意安全。
-
受国家支持的黑客利用Palo Alto Networks防火墙零日漏洞进行攻击,相关补丁已发布。
延伸问答
Oracle WebLogic Server中修复了哪些漏洞?
Oracle修复了WebLogic Server中的两个信息泄露漏洞,分别是CVE-2024-21006和CVE-2024-21007。
Palo Alto Networks的PAN-OS漏洞有多严重?
PAN-OS中的命令注入漏洞(CVE-2024-3400)CVSS评分为10.0,属于高危漏洞。
XZ后门事件对供应链安全有什么影响?
XZ后门事件引发了对供应链安全的担忧,OpenJS基金会警告这可能不是孤立事件。
Node.js披露的命令注入漏洞有什么风险?
Node.js的命令注入漏洞(CVE-2024-27980)可能允许攻击者在Windows设备上执行恶意代码。
如何使用Git-Secrets防止敏感信息泄露?
Git-Secrets通过扫描提交的代码,匹配预先配置的正则表达式,阻止敏感信息上传至Git库。
黑客如何成功入侵天眼公司?
黑客InterBroker声称在10分钟内成功入侵天眼公司,窃取了大量美国国家安全机密数据。