Apache OFBiz披露新RCE漏洞,黑客可以接管ERP系统
近日,Apache修复了一个高危远程代码执行漏洞,该漏洞可能允许攻击者接管ERP系统。
OFBiz是Apache下属的一个开源企业资源规划(ERP)系统开发框架,它提供了一套企业应用程序,将企业的许多业务流程集成并自动化。它提供广泛的功能,包括:会计、客户关系管理、生产运营管理、订单管理、供应链履行和仓库管理系统等等。
此次的漏洞被命名为CVE-2021-26295,影响17.12.06之前的所有软件版本,并采用 "不安全反序列化 "作为攻击向量,允许未经授权的远程攻击者直接在服务器上执行任意代码。
具体来说,通过这个漏洞,攻击者可以篡改序列化数据,以插入任意代码,当被反序列化后,可以进行远程代码执行。也就是说,未经认证的攻击者可以利用这个漏洞成功接管Apache OFBiz。
不安全的反序列化一直是数据完整性和其他安全问题的重要原因。专家指出格式错误的数据或者意外的数据很可能被用来滥用应用逻辑、拒绝服务或执行任意代码。
目前,用户可以通过更新至17.12.06版本来进行修复,同时做好资产自查以及预防工作,以避免漏洞被黑客利用从而造成损失。
参考:
- securityaffairs
- thehackernews
页面地址:http://www.youmibao.com/n/231.html
服务器硬件防火墙与软件防火墙的作用和区别
随着近几年网络数据安全的要求越来越高,很多初次使用服务器的客户经常问我们:你们的机房有防火墙吗?我们还需要再部署和安装防火墙吗?有没有服务器硬件防火墙?其实一般的机房都是有部署硬件防火墙的。而为了更大程度上保障数据安全,你也可以在服务器上部署软件防火墙。那么,...
服务器服务器安全硬件防火墙软件防火墙
Linux 使用rpm方式安装最新mysql(5.7.16)步骤及常见问题解决方法
前几天在阿里云买了个服务器 ,准备自己玩玩,现将最新版mysql(5.7.16)安装步骤,以及遇到问题及解决过程分享如下:第一步:下载rpm包MySQL官网下载:http://dev.mysql.com/downloads/mysql/但如果你的下载网速不好的...
linuxrpmmysql
黑客利用Log4Shell漏洞攻击比利时国防部
Security Affairs 网站披露,比利时国防部遭到了网络攻击,研究人员发现,威胁者似乎利用了Log4Shell漏洞。此次网络攻击于上周四被发现,但是国防部一直到今天才披露了这一情况。随后比利时国防部发言人称,黑客利用了Log4j软件中被爆出的Log4...
漏洞服务器安全Log4Shell黑客
