Apache DolphinScheduler 社区邮件列表最近通告了 2 个漏洞,考虑到有很多用户并未订阅此邮件列表,我们特地在此进行情况说明: CVE-2020-11974[1] 漏洞 (CVE-2020-11974[1]) 是与 mysql connectorj 远程执⾏代码漏洞有关,mysql connectorj 漏洞详情请参见: https://securityonline.info/mysql-connectorj-remote-code-execution-vulnerabili…

点击上方 蓝字关注我们 [安全通报] [影响程度:低] Apache DolphinScheduler 社区邮件列表最近通告了 1 个漏洞,考虑到有很多用户并未订阅此邮件列表,我们特地在此进行情况说明: CVE-2021-27644 重要程度:低 影响范围:暴露服务在外网中.且内部账号泄露.如果无上述情况,用户可根据实际情况决定是否需要升级. 影响版本:<1.3.6 漏洞说明: 此问题是由于mysql connectorj 漏洞引起的,DolphinScheduler 登陆用户(未登录用户无法执…

"织梦"CMS注入高危漏洞情况 作者:    时间:2014-04-17   "织梦"CMS是由上海卓卓网络科技有限公司研发的一款网站建站系统软件,又称"DEDE内容管理系统",在国内应用较为广泛.2014年2月25日,该软件被披露存在一个高危漏洞,由于页面参数未进行严格过滤,存在SQL注入漏洞.受漏洞影响的织梦CMS 版本包括V 5.7 SP1及以下版本.至2月28日,针对该漏洞的攻击利用代码和相关利用工具在互联网上已经被公开传播.攻击者可利用…

点击上方 蓝字关注我们 好消息,中国开源云联盟(China Open Source Cloud League,简称"COSCL")于近日公布 2021 杰出开源贡献者.优秀开源项目.最佳开源实践案例.优秀开源创新企业榜单.其中,Apache DolphinScheduler 登上优秀开源项目榜单! 为推动国内开源生态产业发展,中国开源云联盟组织开展了 2021 杰出开源贡献者.优秀开源项目.最佳开源实践案例.优秀开源创新企业评选活动,将以往的评选维度扩大至贡献者.项目.应用案例.企业四…

点击上方 蓝字关注我们 社区的小伙伴们,经过精心筹备,我们很高兴地宣布,Apache DolphinScheduler Meetup 2021 将于 2021 年 11 月 27 日到来! 在 Meetup 上,来自 DolphinScheduler 社区的积极贡献者和深度用户将带来关于 DolphinScheduler 的最新进展和一线用户实践分享.也许你是对 DolphinScheduler 抱有兴趣和好奇的小伙伴,也许你在生产环境中遇到了难以解决的困难,都可以来到这里,与贡献者交流接触,寻…

摸不了鱼了 2019 年 11 月 26 日,本来应该是无比平静的一天,开开会,改改bug,摸摸鱼之后等着下班.刷着新闻的间隙,手机的消息提示音响了起来,收到了一条邮件,平时收到邮件我都会选择稍后处理模式继续摸鱼,但是看到邮件标题后,我感觉摸鱼是摸不得了,怕不是捅了什么篓子,邮件的标题是这样的: 什么东西?怎么了?我一看到"国家信息安全"几个大字,手里摸的鱼都抓不牢了,我当时真的被唬住了,赶紧点开邮件查看一下我到底做了什么,我真的不知道我干了什么,瞬间进入巨怂模式,屏气凝神不敢说话.…

导读 11 月 21 日,在小米 IoT 安全峰会上,腾讯安全玄武实验室负责人于旸(花名:TK 教主)在演讲中透露,腾讯玄武实验室最近向国家信息安全漏洞共享平台(CNVD)提交了一个重大漏洞“BucketShock”,所有云存储应用中可能超过 70% 存在该问题. 2019 年 10 月 28 日,CNVD 收录了这个云存储应用越权访问和文件上传漏洞(CNVD-2019-37364).攻击者利用该漏洞,可在越权的情况下,远程读取.修改云存储中的内容.目前,漏洞相关细节未公开,漏洞影响范围和危害较…

APP漏洞扫描器之本地拒绝服务检测详解 阿里聚安全的Android应用漏洞扫描器有一个检测项是本地拒绝服务漏洞的检测,采用的是静态分析加动态模糊测试的方法来检测,检测结果准确全面.本文将讲一下应用漏洞扫描器在针对本地拒绝服务的检测方法. 一.本地拒绝服务产生原因和影响 Android应用使用Intent机制在组件之间传递数据,如果应用在使用getIntent(),getAction(),Intent.getXXXExtra()获取到空数据.异常或者畸形数据时没有进行异常捕获,应用就会发生Cras…

这里对PHP的代码审计和漏洞挖掘的思路做一下总结,都是个人观点,有不对的地方请多多指出. PHP的漏洞有很大一部分是来自于程序员本身的经验不足,当然和服务器的配置有关,但那属于系统安全范畴了,我不太懂,今天我想主要谈谈关于PHP代码审计和漏洞挖掘的一些思路和理解. PHP的漏洞发掘,其实就是web的渗透测试,和客户端的fuzzing测试一样,web的渗透测试也可以使用类似的技术,web fuzzing,即基于web的动态扫描. 这类软件国内外有很多,如WVS,Lan Guard,SSS等.这类扫…

Android WebView存在跨域访问漏洞(CNVD-2017-36682).攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据.照片.文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制.由于该组件广泛应用于Android平台,导致大量APP受影响,构成较为严重的攻击威胁. 一.漏洞情况分析 WebView是Android用于显示网页的控件,是一个基于Webkit引擎.展现web页面的控件.WebView控件功能除了具有一般View的属性和…