seo思路

seo思路-Jackson高危反序列化漏洞

今天和朋友们分享的主题是ISC BIND（CVE-2017-3143）高危安全绕过漏洞的相关内容，首先先介绍意思ISC是什么和BIND是什么，再来深入的了解一下这次漏洞是内容和修复措施。

ISC服务器控制。是Intel的服务器管理软件。只适用于使用Intel架构的带有集成管理功能主板的服务器。采用这种技术后，用户在一台普通的客户机上，就可以监测网络上所有使用Intel主板的服务器，监控和判断服务器的工作状态是否正常。一旦服务器内部硬件传感器进行实时监控或第三方硬件中的任何一项出现错误，就会报警提示管理人员。并且，监测端和服务器端之间的网络可以是局域网也可以是广域网，可直接通过网络对服务器进行启动、关闭或重新置位，极大地方便了管理和维护工作。（百度百科）

BIND是将一本地地址与一套接口捆绑。本函数适用于未连接的数据报或流类套接口，在connect()或listen()调用前使用。当用socket()创建套接口后，它便存在于一个名字空间（地址族）中，但并未赋名。bind()函数通过给一个未命名套接口分配一个本地名字来为套接口建立本地捆绑（主机地址/端口号）。（百度百科）

漏洞描述

2017年6月29日，ISC BIND被爆出由于设计问题而导致的安全绕过漏洞（CVE-2017-3143），攻击者能够对一个权威DNS服务器发送和接收消息，对目标服务执行未经授权的动态更新，进而被投毒等攻击行为，存在严重的业务安全风险。

影响版本

9.4.0-9.8.8

9.9.0-9.9.10-P1

9.9.3-S1-9.9.10-S2

9.10.0-9.10.5-P1

9.10.5-S1-9.10.5-S2

9.11.0-9.11.1-P1

漏洞等级：高危

全网影响

中国互联网共有72871个主机正在使用存在漏洞的BIND版本。

修复建议

1、升级到最新版本；

2、使用百度云加速WAF防火墙进行防御；

3、添加网站至安全指数，及时了解网站组件突发/0day漏洞。

了解更多

https://kb.isc.org/article/AA-01503

seo思路-SEO相关（1）

在2018年1月4日的时候，百度安全指数平台发布了一篇标题为《Intel CPU被曝存在严重BUG》的安全漏洞内容，今天转载过来和朋友们分享一下，感兴趣的朋友可以关注一下。以下是正文部分的内容：

Intel处理器的一项设计BUG近日被披露，涉及从数据中心应用程序到Java支撑的Web浏览器，操作系统则有Windows、Linux、macOS等。普通用户程序（如数据库程序、浏览器中的Javascript等）可以利用该漏洞在一定程度上获取受保护内核内存区域的布局结构或数据内容。

这个X86-64处理器的设计缺陷，已经存在了逾十年。Intel无法通过微代码更新弥补，需要操作系统厂商一同修缮，除非直接换用不存在缺陷的新处理器。从操作系统层面修复该漏洞，预计整体性能会出现5%-30%的下降。

这个漏洞会影响许多大牌云计算平台，如Amazon EC2、Microsoft Azure以及Google Compute Engine，需要修改硬件才能完全解决这一问题。目前Linux内核中正在公开、紧急地推进相应的软件缓解措施，NT内核已于11月份开始推进类似的缓解措施。在最糟糕的情况下，软件修复措施将给常规处理任务造成极大的性能损耗。

微软的Azure云上运行了许多Linux以及Windows系统，将于1月10大批量进行维护及重启，可能是为了及时打上上述补丁程序。Amazon Web服务也通过邮件告知客户周五时会发布一个重大安全更新，但没有涉及具体细节。

了解更多：

https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/

seo思路-SEO相关（2）

近日，国家信息安全漏洞共享平台（CNVD）收录了CNVD白帽子（ID：ayound）报送的Jackson框架enableDefaultTyping方法反序列化漏洞（CNVD-2017-04483）。攻击者利用漏洞可在服务器主机上执行任意代码或系统指令，取得网站服务器的控制权。

2017年4月17日， Jackson框架曝出存在Java反序列化漏洞，利用漏洞可造成远程代码执行，获取网站控制权，危害极高。

Jackson是一套开源的java序列化与反序列化工具框架，可将java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。由于其解析效率较高，目前是Spring MVC中内置使用的解析方式。

4月15日，CNVD白帽子提交了Jackson存在Java反序列化漏洞的情况，CNVD秘书处进行了本地环境核实，确认漏洞在一定条件下可被触发，达到任意代码和系统指令执行的目的。该漏洞的触发条件是ObjectMapper反序列化前调用了enableDefaultTyping方法。该方法允许json字符串中指定反序列化java对象的类名，而在使用Object、Map、List等对象时，可诱发反序列化漏洞。

影响版本：

2.7.*<=Jackson<2.7.10

2.8.*<=Jackson<2.8.9

漏洞等级：高危

修复建议

1、升级Jackson到2.7.10或2.8.9以上版本；

2、使用百度云加速WAF防火墙进行防御；

3、添加网站至安全指数，及时了解网站组件突发/0day漏洞。

了解更多

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04483