墨菲安全

背景 SolarWinds Orion 软件更新包在2020年底被黑客植入后门，此次攻击事件波及范围极大，包括美国政府部门、关键基础设施以及多家全球500强企业，影响难以估计。如果用户能确认软件来源是可信的 SolarWinds 官方，这次事件可能可以避免。 为了确认软件的来源和构建方式，实现完整性保护，Linux基金会联合Red Hat、Google 和 …

前言 得益于Java的完备生态，Java一直是非常热门的编程语言。但对于刚刚接触Java的开发者来说，很少会去关注安全相关的问题，没有养成良好的开发习惯，在开发过程中容易带来安全隐患。 我们在本文中总结了五条简单有效的小建议。 一、及时更新依赖组件版本 在Java开发中，开发者经常会用到各类开源组件来实现自己的功能点，但是许多开发者不常关注安全资讯，不了解开…

墨菲安全是一家专注于软件供应链安全管理的科技公司，能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等，丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。公司核心团队来自百度、华为等企业，拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。 一、墨菲安全受邀参加腾讯安全云鼎实验室公开课分享 2022…

漏洞简述 Apache IoTDB 是面向IoT场景存储时序数据的数据管理系统，具备跟Grafana、spark等系统的集成能力。 4月8日，IoTDB 修复了其中 grafana-connector 模块中的 SQL 注入漏洞。 由于 grafana-connector 模块中 BasicDaoImpl 类的 querySeriesInternal 方法存…

先抛出两个问题： 你们公司从超市买一桶水回去，喝之前会做检测吗？会担心水被人下毒吗？ 你们公司的程序员从 GitHub 上 clone 一个开源项目或者组件，引入到线上项目代码中运行，你会担心有安全漏洞吗？会担心软件投毒吗？ 开源技术的应用成为驱动新一轮产业数字化升级的核心动力 “迎接数字时代，激活数据要素潜能，推进网络强国建设，加快建设数字经济、数字社会、…

漏洞简述 3月30日，GitLab 官方修复了CE/EE版本产品中硬编码密码导致的接管用户账户的安全问题。 由于使用 OmniAuth 注册的代码逻辑中存在硬编码密码，导致账号可被攻击者直接登录。该漏洞受影响版本为 14.7.0 ~ 14.7.6，14.8.0 ~ 14.8.4，14.9.0 ~ 14.9.1，均为较高版本，且该漏洞依赖于开启 OmniAut…

漏洞简述 3月7日，开发者 Max Kellermann 在他的博客（https://dirtypipe.cm4all.com/）中披露了一个能导致 Linux 权限提升的漏洞，编号为 CVE-2022-0847，他称之为 “The Dirty Pipe Vulnerability” （“脏管道”漏洞）。 Linux 5.10版本前的一次 commit 中，…

漏洞简述 3月1日，VMware发布了针对Spring Cloud Gateway的漏洞通告（https://tanzu.vmware.com/security/cve-2022-22947），当actuator端点开启并对外暴露时，攻击者可以构造恶意请求实现远程任意代码执行。 Spring Cloud Gateway是Spring Cloud 生态中的AP…