CAT:成都链安:Apache Tomcat 远程代码执行漏洞预警(CVE-2020-9484)

链闻消息,成都链安威胁情报系统预警,ApacheTomcat远程代码执行存在漏洞,部分交易所仍然在使用此web服务器,黑客可利用此漏洞进行犯罪入侵,我们建议使用相关软件的交易所及时自查并进行修复。漏洞威胁:高。受影响版本:ApacheTomcat10.0.0-M1至10.0.0-M1、ApacheTomcat9.0.0.M1至9.0.34、ApacheTomcat8.5.0至8.5.54、ApacheTomcat7.0.0至7.0.103。漏洞描述:1)?攻击者可以通过此漏洞控制服务器以及计算机上的文件;2)?服务器将会被配置FileStore和PersistenceManager;3)?PersistenceManager配置有sessionAttributeValueClassNameFilter=「null」或不严谨的过滤器,允许攻击者执行反序列化操作;4)?攻击者知道从FileStore使用的存储位置到攻击者可以控制的文件的相对文件路径;然后,使用特殊请求,攻击者将能够在其控制下通过反序列化文件来触发远程代码执行。成都链安安全团队建议根据官方提供的修复方案进行修复,修复方案如下:ApacheTomcat10.0.0-M1至10.0.0-M1版本建议升级到ApacheTomcat10.0.0-M5或更高版本;ApacheTomcat9.0.0.M1至9.0.34版本建议升级到ApacheTomcat9.0.35或更高版本;ApacheTomcat8.5.0至8.5.54版本建议升级到ApacheTomcat8.5.55或更高版本;ApacheTomcat7.0.0至7.0.103版本建议升级到ApacheTomcat7.0.104或更高版本。用户也可以通过sessionAttributeValueClassNameFilter适当的值配置PersistenceManager,以确保仅对应用程序提供的属性进行序列化和反序列化。

Character.AI以10亿美元估值完成1.5亿美元融资,a16z领投:3月24日消息,生成式AI初创公司Character.AI宣布以10亿美元估值完成1.5亿美元融资,a16z领投,GitHub前CEO Nat Friedman、Elad Gil、A Capital和SV Angel参投。

Character.AI表示新资金将使其能够扩展“计算能力,从而产生具有高级推理和更高准确性的更复杂模型”。

此外,有消息称Character.AI可能会探索加密(或更广泛的Web3)和社交音频市场,因为a16z一直是这两个领域的重要参与者,但该公司截至目前尚未提供额外评论。(CNBC)[2023/3/24 13:23:23]

特斯拉:由于公司比特币的账面价值变化,计提了约1.01亿美元的减值损失:2月7日消息,特斯拉:在截至2021年12月31日的一年中,由于公司比特币的账面价值变化,计提了约1.01亿美元的减值损失。截至2021年12月31日,特斯拉持有的比特币公允市场价值为19.9亿美元。[2022/2/7 9:36:11]

ETH突破1600美元关口 日内涨幅为1.75%:火币全球站数据显示,ETH短线上涨,突破1600美元关口,现报1601.6美元,日内涨幅达到1.75%,行情波动较大,请做好风险控制。[2021/2/24 17:45:34]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

XRP区块链:1.什么是区块链

区块链是什么呢,本质上讲,区块链是一种分布式、去中心化的网络数据库系统,这个系统会让数据的存储、更新、维护、操作变得不同.

[0:15ms0-5:118ms