CVE-2021-38297 - Go Web程序集漏洞分析
2022年8月30日
JFrog安全研究团队持续监测开源软件(OSS)中报告的漏洞,以帮助我们的客户和更广泛的社区了解潜在的软件供应链安全威胁及其影响。在这样做的过程中,我们经常注意到值得强调的重要趋势和关键知识。下面分析在…中发现的漏洞。
帮助交付从代码到边缘的安全软件更新。
您已被重定向到JFrog网站
JFrog安全研究团队持续监测开源软件(OSS)中报告的漏洞,以帮助我们的客户和更广泛的社区了解潜在的软件供应链安全威胁及其影响。在这样做的过程中,我们经常注意到值得强调的重要趋势和关键知识。下面分析在…中发现的漏洞。
JFrog安全团队最近参加了Pwn2Own迈阿密2022黑客比赛,该比赛专注于工业控制系统(ICS)安全。我们竞赛的研究目标之一是基于c++的统一自动化OPC UA服务器SDK。除了我们在pwn2own竞赛中披露的漏洞之外,我们还设法找到了……
今年早些时候,JFrog安全研究团队参加了Pwn2Own迈阿密2022黑客竞赛,该竞赛专注于工业控制系统(ICS)安全。我们很自豪能够参加这次比赛,并与其他研究人员一起努力使关键任务的工业环境安全可靠。在Pwn2Own迈阿密比赛期间,我们参加了…
JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,以避免潜在的软件供应链安全威胁,并向存储库维护者和更广泛的社区报告任何漏洞或恶意包。有时,我们会注意到一些值得分析和学习的趋势。最近,我们注意到……
今年3月,我们发布了一篇分析Apache HTTP Server mod_sed过滤器模块CVE-2022-23943中的漏洞的文章,其中拒绝服务(DoS)可能会由于缓冲区大小的错误计算而触发。在分析此Apache httpd漏洞及其补丁时,我们怀疑虽然修复解决了问题,但它…
几周前,Fastjson发布了一个新版本(1.2.83),其中修复了一个据称允许攻击者在远程机器上执行代码的安全漏洞。根据一些出版物,该漏洞允许攻击者绕过Fastjson中的“AutoTypeCheck”机制,实现远程代码执行。这个Fastjson…
JFrog安全研究团队不断在流行的开源项目中寻找新的和以前未知的软件漏洞,以帮助改善他们的安全状况。作为这项工作的一部分,我们最近在Envoy Proxy中发现了一个拒绝服务(DoS)漏洞,这是一个广泛使用的开源边缘和服务代理服务器,专为云原生应用程序设计……
当依赖于来自非商业实体的第三方包时,总是存在缺乏支持的风险,特别是涉及到过时的包和版本时。如果包停止维护,就没有人会实现我们可能需要的新特性或修复新发现的安全漏洞。例如,考虑CVE-2019-17571。一个关键的…
注意:这篇博文之前发表于Dark Reading软件测试是出了名的难。在谷歌中搜索由基本的CRLF(换行符)问题引起的cve,您将看到数千个条目。人类已经能够把人送上月球,但还没有找到一个适当的方法来处理行结束……
5月11日更新:在这篇博文发表之后,一家名为“Code White”的渗透测试公司对这次依赖混淆攻击负责。JFrog安全研究团队不断监控npm和PyPI生态系统,以防止恶意包可能导致广泛的软件供应链攻击。上个月,我们分享了一个广泛的npm…
