走在NGINX和微软Windows SMB远程过程调用服务的软件漏洞前面
当涉及到安全和保护你的数据时,对最新发展的快速反应是至关重要的。毕竟,黑客和威胁可能在任何时候出现,所以保持警惕很重要。在这里 Secure Code Warrior我们努力为您提供有关最新漏洞的最新信息,采取什么措施来减少风险以及如何保护您的用户。就像最近公布的帮助你解决Spring库的漏洞一样,我们在这里讨论两个新发现的漏洞。
今天我们重点讨论2个新的漏洞:首先是微软的服务器信息块,称为 "Windows RPC RCE";其次是NGINX,称为 "LDAP参考实现"。
请继续阅读,了解到目前为止我们对这些漏洞的了解,以及你可以做什么来减轻你的风险。
微软Windows RPC RCE - CVE-2022-26809
在四月的补丁星期二,微软披露了他们的服务器信息块(SMB)功能中的一个漏洞,特别是处理RPC的部分。这对你来说可能听起来很熟悉,因为该漏洞与CVE-2003-0352相似--这是2003年蠕虫病毒爆炸者使用的一个漏洞。
剥削的风险和可能性有多大?
微软的咨询表明,"攻击的复杂性 "是 "低",并评估利用风险为 "更有可能被利用",这是在没有被证实的野外利用情况下的最高级别。
目前,还没有已知的利用方法,但由于攻击复杂性低和 "更有可能 "的利用assessment ,人们担心恶意行为者可以通过Blaster攻击快速和容易地利用。
研究人员发现公共互联网上有大量的主机可以访问139/445端口,如果发生大规模的探索,这是相当令人担忧的。
用户应该采取什么措施来减少风险?
幸运的是,减轻被这一漏洞利用的风险是相对容易的。
- 确保你阻止来自互联网的139和445端口的访问,当需要访问时,仅限制为内部访问。你可以在这里从微软的文档中找到更多的细节。
- 应用微软在2022年4月12日发布的补丁。
NGINX - LDAP参考实施RCE
NGINX于2022年4月11日披露了一个名为 "LDAP参考实现RCE "的新漏洞,允许在系统上进行远程代码执行(RCE)。
漏洞是什么?
这个漏洞是独特的,因为它不影响用于生产或常见敏感系统的代码。相反,正如其名称中的 "参考实现 "所示,该代码的目的是演示LDAP集成如何在NGINX设置中工作。
哪些人面临风险,你应该如何保护你的代码?
幸运的是,NGINX在默认情况下是没有漏洞的。主要风险是在安装LDAP扩展时。即使如此,其他多个条件也需要为真,才能利用该漏洞。我们建议采取的一个行动是,如果你使用参考实现,确保切换到使用可生产的实现。
欲了解完整的细节,请查看NGINX的披露。
脆弱性让你感到暴露?我们可以提供帮助。
从今天的Windows RPC RCE和NGINX - LDAP Reference Implementation RCE到上个月的Spring漏洞,很明显,软件漏洞是永远存在的。
大多数公司专注于快速反应策略,以减轻代码和客户的风险,但这有一个被动的方法,虽然很重要,但会让你处于风险之中。我们相信,建立安全代码的积极策略,提高你的开发人员的技能,并创建一个注重安全的文化,是保护你们自己免受威胁的最好方法。
在软件开发生命周期的开始阶段就强调开发者驱动的安全,将导致保护力度的增强,更有效的代码部署,并为您节省时间和金钱。
Secure Code Warrior 通过我们独特的培训平台,从教育内容到您的团队正在学习的新技能的实践应用,我们在这里提供帮助。
发现如何 Secure Code Warrior learning platform可以帮助你的开发人员进行安全编码培训。
当涉及到安全和保护你的数据时,对最新发展的快速反应是至关重要的。毕竟,黑客和威胁可能在任何时候出现,所以保持警惕很重要。在这里 Secure Code Warrior我们努力为您提供有关最新漏洞的最新信息,采取什么措施来减少风险以及如何保护您的用户。就像最近公布的帮助你解决Spring库的漏洞一样,我们在这里讨论两个新发现的漏洞。
今天我们重点讨论2个新的漏洞:首先是微软的服务器信息块,称为 "Windows RPC RCE";其次是NGINX,称为 "LDAP参考实现"。
请继续阅读,了解到目前为止我们对这些漏洞的了解,以及你可以做什么来减轻你的风险。
微软Windows RPC RCE - CVE-2022-26809
在四月的补丁星期二,微软披露了他们的服务器信息块(SMB)功能中的一个漏洞,特别是处理RPC的部分。这对你来说可能听起来很熟悉,因为该漏洞与CVE-2003-0352相似--这是2003年蠕虫病毒爆炸者使用的一个漏洞。
剥削的风险和可能性有多大?
微软的咨询表明,"攻击的复杂性 "是 "低",并评估利用风险为 "更有可能被利用",这是在没有被证实的野外利用情况下的最高级别。
目前,还没有已知的利用方法,但由于攻击复杂性低和 "更有可能 "的利用assessment ,人们担心恶意行为者可以通过Blaster攻击快速和容易地利用。
研究人员发现公共互联网上有大量的主机可以访问139/445端口,如果发生大规模的探索,这是相当令人担忧的。
用户应该采取什么措施来减少风险?
幸运的是,减轻被这一漏洞利用的风险是相对容易的。
- 确保你阻止来自互联网的139和445端口的访问,当需要访问时,仅限制为内部访问。你可以在这里从微软的文档中找到更多的细节。
- 应用微软在2022年4月12日发布的补丁。
NGINX - LDAP参考实施RCE
NGINX于2022年4月11日披露了一个名为 "LDAP参考实现RCE "的新漏洞,允许在系统上进行远程代码执行(RCE)。
漏洞是什么?
这个漏洞是独特的,因为它不影响用于生产或常见敏感系统的代码。相反,正如其名称中的 "参考实现 "所示,该代码的目的是演示LDAP集成如何在NGINX设置中工作。
哪些人面临风险,你应该如何保护你的代码?
幸运的是,NGINX在默认情况下是没有漏洞的。主要风险是在安装LDAP扩展时。即使如此,其他多个条件也需要为真,才能利用该漏洞。我们建议采取的一个行动是,如果你使用参考实现,确保切换到使用可生产的实现。
欲了解完整的细节,请查看NGINX的披露。
脆弱性让你感到暴露?我们可以提供帮助。
从今天的Windows RPC RCE和NGINX - LDAP Reference Implementation RCE到上个月的Spring漏洞,很明显,软件漏洞是永远存在的。
大多数公司专注于快速反应策略,以减轻代码和客户的风险,但这有一个被动的方法,虽然很重要,但会让你处于风险之中。我们相信,建立安全代码的积极策略,提高你的开发人员的技能,并创建一个注重安全的文化,是保护你们自己免受威胁的最好方法。
在软件开发生命周期的开始阶段就强调开发者驱动的安全,将导致保护力度的增强,更有效的代码部署,并为您节省时间和金钱。
Secure Code Warrior 通过我们独特的培训平台,从教育内容到您的团队正在学习的新技能的实践应用,我们在这里提供帮助。
发现如何 Secure Code Warrior learning platform可以帮助你的开发人员进行安全编码培训。
当涉及到安全和保护你的数据时,对最新发展的快速反应是至关重要的。毕竟,黑客和威胁可能在任何时候出现,所以保持警惕很重要。在这里 Secure Code Warrior我们努力为您提供有关最新漏洞的最新信息,采取什么措施来减少风险以及如何保护您的用户。就像最近公布的帮助你解决Spring库的漏洞一样,我们在这里讨论两个新发现的漏洞。
今天我们重点讨论2个新的漏洞:首先是微软的服务器信息块,称为 "Windows RPC RCE";其次是NGINX,称为 "LDAP参考实现"。
请继续阅读,了解到目前为止我们对这些漏洞的了解,以及你可以做什么来减轻你的风险。
微软Windows RPC RCE - CVE-2022-26809
在四月的补丁星期二,微软披露了他们的服务器信息块(SMB)功能中的一个漏洞,特别是处理RPC的部分。这对你来说可能听起来很熟悉,因为该漏洞与CVE-2003-0352相似--这是2003年蠕虫病毒爆炸者使用的一个漏洞。
剥削的风险和可能性有多大?
微软的咨询表明,"攻击的复杂性 "是 "低",并评估利用风险为 "更有可能被利用",这是在没有被证实的野外利用情况下的最高级别。
目前,还没有已知的利用方法,但由于攻击复杂性低和 "更有可能 "的利用assessment ,人们担心恶意行为者可以通过Blaster攻击快速和容易地利用。
研究人员发现公共互联网上有大量的主机可以访问139/445端口,如果发生大规模的探索,这是相当令人担忧的。
用户应该采取什么措施来减少风险?
幸运的是,减轻被这一漏洞利用的风险是相对容易的。
- 确保你阻止来自互联网的139和445端口的访问,当需要访问时,仅限制为内部访问。你可以在这里从微软的文档中找到更多的细节。
- 应用微软在2022年4月12日发布的补丁。
NGINX - LDAP参考实施RCE
NGINX于2022年4月11日披露了一个名为 "LDAP参考实现RCE "的新漏洞,允许在系统上进行远程代码执行(RCE)。
漏洞是什么?
这个漏洞是独特的,因为它不影响用于生产或常见敏感系统的代码。相反,正如其名称中的 "参考实现 "所示,该代码的目的是演示LDAP集成如何在NGINX设置中工作。
哪些人面临风险,你应该如何保护你的代码?
幸运的是,NGINX在默认情况下是没有漏洞的。主要风险是在安装LDAP扩展时。即使如此,其他多个条件也需要为真,才能利用该漏洞。我们建议采取的一个行动是,如果你使用参考实现,确保切换到使用可生产的实现。
欲了解完整的细节,请查看NGINX的披露。
脆弱性让你感到暴露?我们可以提供帮助。
从今天的Windows RPC RCE和NGINX - LDAP Reference Implementation RCE到上个月的Spring漏洞,很明显,软件漏洞是永远存在的。
大多数公司专注于快速反应策略,以减轻代码和客户的风险,但这有一个被动的方法,虽然很重要,但会让你处于风险之中。我们相信,建立安全代码的积极策略,提高你的开发人员的技能,并创建一个注重安全的文化,是保护你们自己免受威胁的最好方法。
在软件开发生命周期的开始阶段就强调开发者驱动的安全,将导致保护力度的增强,更有效的代码部署,并为您节省时间和金钱。
Secure Code Warrior 通过我们独特的培训平台,从教育内容到您的团队正在学习的新技能的实践应用,我们在这里提供帮助。
发现如何 Secure Code Warrior learning platform可以帮助你的开发人员进行安全编码培训。
当涉及到安全和保护你的数据时,对最新发展的快速反应是至关重要的。毕竟,黑客和威胁可能在任何时候出现,所以保持警惕很重要。在这里 Secure Code Warrior我们努力为您提供有关最新漏洞的最新信息,采取什么措施来减少风险以及如何保护您的用户。就像最近公布的帮助你解决Spring库的漏洞一样,我们在这里讨论两个新发现的漏洞。
今天我们重点讨论2个新的漏洞:首先是微软的服务器信息块,称为 "Windows RPC RCE";其次是NGINX,称为 "LDAP参考实现"。
请继续阅读,了解到目前为止我们对这些漏洞的了解,以及你可以做什么来减轻你的风险。
微软Windows RPC RCE - CVE-2022-26809
在四月的补丁星期二,微软披露了他们的服务器信息块(SMB)功能中的一个漏洞,特别是处理RPC的部分。这对你来说可能听起来很熟悉,因为该漏洞与CVE-2003-0352相似--这是2003年蠕虫病毒爆炸者使用的一个漏洞。
剥削的风险和可能性有多大?
微软的咨询表明,"攻击的复杂性 "是 "低",并评估利用风险为 "更有可能被利用",这是在没有被证实的野外利用情况下的最高级别。
目前,还没有已知的利用方法,但由于攻击复杂性低和 "更有可能 "的利用assessment ,人们担心恶意行为者可以通过Blaster攻击快速和容易地利用。
研究人员发现公共互联网上有大量的主机可以访问139/445端口,如果发生大规模的探索,这是相当令人担忧的。
用户应该采取什么措施来减少风险?
幸运的是,减轻被这一漏洞利用的风险是相对容易的。
- 确保你阻止来自互联网的139和445端口的访问,当需要访问时,仅限制为内部访问。你可以在这里从微软的文档中找到更多的细节。
- 应用微软在2022年4月12日发布的补丁。
NGINX - LDAP参考实施RCE
NGINX于2022年4月11日披露了一个名为 "LDAP参考实现RCE "的新漏洞,允许在系统上进行远程代码执行(RCE)。
漏洞是什么?
这个漏洞是独特的,因为它不影响用于生产或常见敏感系统的代码。相反,正如其名称中的 "参考实现 "所示,该代码的目的是演示LDAP集成如何在NGINX设置中工作。
哪些人面临风险,你应该如何保护你的代码?
幸运的是,NGINX在默认情况下是没有漏洞的。主要风险是在安装LDAP扩展时。即使如此,其他多个条件也需要为真,才能利用该漏洞。我们建议采取的一个行动是,如果你使用参考实现,确保切换到使用可生产的实现。
欲了解完整的细节,请查看NGINX的披露。
脆弱性让你感到暴露?我们可以提供帮助。
从今天的Windows RPC RCE和NGINX - LDAP Reference Implementation RCE到上个月的Spring漏洞,很明显,软件漏洞是永远存在的。
大多数公司专注于快速反应策略,以减轻代码和客户的风险,但这有一个被动的方法,虽然很重要,但会让你处于风险之中。我们相信,建立安全代码的积极策略,提高你的开发人员的技能,并创建一个注重安全的文化,是保护你们自己免受威胁的最好方法。
在软件开发生命周期的开始阶段就强调开发者驱动的安全,将导致保护力度的增强,更有效的代码部署,并为您节省时间和金钱。
Secure Code Warrior 通过我们独特的培训平台,从教育内容到您的团队正在学习的新技能的实践应用,我们在这里提供帮助。
发现如何 Secure Code Warrior learning platform可以帮助你的开发人员进行安全编码培训。
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
