提前防范 NGINX 和微软 Windows SMB 远程过程调用服务中的软件漏洞
在安全和保护数据方面,快速响应最新进展至关重要。毕竟,黑客攻击和威胁随时可能出现,因此保持警惕很重要。这里在 安全代码勇士,我们努力向您提供有关最新漏洞、应采取哪些措施来降低风险以及如何保护您的用户的最新信息。就像最近的公告一样,可以帮助你 Spring 库漏洞,我们在这里讨论两个新发现的漏洞。
今天,我们将重点关注两个新漏洞:第一个是微软的服务器消息块,被称为 “Windows RPC RCE”,第二个是被称为 “LDAP 参考实现” 的 NGINX。
请继续阅读,了解我们到目前为止对这些漏洞的了解以及您可以采取哪些措施来降低风险。
微软 Windows RPC RCE-CVE-2022-26809
在四月的周二补丁中,微软 披露了一个漏洞 在其服务器消息块 (SMB) 功能中,特别是零件处理 RPC。这听起来可能很熟悉,因为该漏洞与 CVE-2003-0352 类似,后者使用了这种漏洞 蠕虫冲击波 一直追溯到 2003 年!
被剥削的风险和可能性是多少?
微软的公告表明 “攻击复杂度” “低”,并进行了评估 剥削风险 成为 “剥削的可能性更大”,这是在未经证实的野外剥削的情况下的最高水平。
当前,尚无已知的漏洞,但由于攻击复杂性低以及 “更有可能” 的漏洞评估,有人担心恶意行为者可以通过Blaster攻击快速轻松地利用这一优势。
研究人员已经在公共互联网上发现了大量可访问端口139/445的主机,如果要进行大规模探索,这非常令人担忧。
Quelles mesures les utilisateurs devraient-ils prendre pour réduire les risques ?
幸运的是,降低被此漏洞利用的风险相对容易。
- 确保阻止从互联网访问端口 139 和 445,并在需要访问时,将其限制为仅限内部访问。你可以从微软的文档中找到更多细节 这里。
- 应用微软于 2022 年 4 月 12 日发布的补丁。
NGINX-LDAP 参考实现 RCE
NGINX 披露 2022年4月11日,出现了一个名为 “LDAP参考实现RCE” 的新漏洞,该漏洞允许在系统上远程执行代码(RCE)。
漏洞是什么?
此漏洞是独一无二的,因为它不影响用于生产或常见敏感系统的代码。相反,正如名称中的 “参考实现” 所示,代码的目的是演示 LDAP 集成如何在 NGINX 设置中工作。
谁处于危险之中,你应该怎么做才能保护你的代码?
幸运的是,默认情况下,NGINX 不易受到攻击。主要风险是安装 LDAP 扩展时。即便如此,还需要满足其他多个条件才能利用该漏洞。我们建议采取的一项措施是,如果您使用参考实现,请务必切换到使用可用于生产的实现。
有关完整详情,请查看 NGINX 披露。
漏洞让你感到暴露在外?我们可以提供帮助。
从今天的 Windows RPC RCE 和 NGINX-LDAP 参考实现 RCE 到上个月的 Spring 漏洞,很明显 软件漏洞 永远存在。
大多数公司都专注于快速响应策略,以降低代码和客户的风险,但这是一种被动的方法,尽管很重要,但可能会使您处于风险之中。我们认为,主动制定策略来构建安全代码、提高开发人员的技能以及创建以安全为中心的文化是保护自己免受威胁的最佳方式。
在软件开发生命周期开始时强调开发人员驱动的安全性将增强保护,提高代码部署的效率,并为您节省时间和金钱。
Secure Code Warrior 在这里为我们提供独一无二的帮助 训练平台 从教育内容到亲身实践应用您的团队正在学习的新技能。
探索如何做 安全代码勇士学习平台 可以帮助培训您的开发人员掌握安全编码。
最近,NGINX 披露了一个未修补的漏洞。大约在同一时间,微软披露了另一个严重漏洞——Windows RPC RCE漏洞。在这篇文章中,你可以了解谁面临这两个问题的风险,以及我们如何降低风险。
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
在安全和保护数据方面,快速响应最新进展至关重要。毕竟,黑客攻击和威胁随时可能出现,因此保持警惕很重要。这里在 安全代码勇士,我们努力向您提供有关最新漏洞、应采取哪些措施来降低风险以及如何保护您的用户的最新信息。就像最近的公告一样,可以帮助你 Spring 库漏洞,我们在这里讨论两个新发现的漏洞。
今天,我们将重点关注两个新漏洞:第一个是微软的服务器消息块,被称为 “Windows RPC RCE”,第二个是被称为 “LDAP 参考实现” 的 NGINX。
请继续阅读,了解我们到目前为止对这些漏洞的了解以及您可以采取哪些措施来降低风险。
微软 Windows RPC RCE-CVE-2022-26809
在四月的周二补丁中,微软 披露了一个漏洞 在其服务器消息块 (SMB) 功能中,特别是零件处理 RPC。这听起来可能很熟悉,因为该漏洞与 CVE-2003-0352 类似,后者使用了这种漏洞 蠕虫冲击波 一直追溯到 2003 年!
被剥削的风险和可能性是多少?
微软的公告表明 “攻击复杂度” “低”,并进行了评估 剥削风险 成为 “剥削的可能性更大”,这是在未经证实的野外剥削的情况下的最高水平。
当前,尚无已知的漏洞,但由于攻击复杂性低以及 “更有可能” 的漏洞评估,有人担心恶意行为者可以通过Blaster攻击快速轻松地利用这一优势。
研究人员已经在公共互联网上发现了大量可访问端口139/445的主机,如果要进行大规模探索,这非常令人担忧。
Quelles mesures les utilisateurs devraient-ils prendre pour réduire les risques ?
幸运的是,降低被此漏洞利用的风险相对容易。
- 确保阻止从互联网访问端口 139 和 445,并在需要访问时,将其限制为仅限内部访问。你可以从微软的文档中找到更多细节 这里。
- 应用微软于 2022 年 4 月 12 日发布的补丁。
NGINX-LDAP 参考实现 RCE
NGINX 披露 2022年4月11日,出现了一个名为 “LDAP参考实现RCE” 的新漏洞,该漏洞允许在系统上远程执行代码(RCE)。
漏洞是什么?
此漏洞是独一无二的,因为它不影响用于生产或常见敏感系统的代码。相反,正如名称中的 “参考实现” 所示,代码的目的是演示 LDAP 集成如何在 NGINX 设置中工作。
谁处于危险之中,你应该怎么做才能保护你的代码?
幸运的是,默认情况下,NGINX 不易受到攻击。主要风险是安装 LDAP 扩展时。即便如此,还需要满足其他多个条件才能利用该漏洞。我们建议采取的一项措施是,如果您使用参考实现,请务必切换到使用可用于生产的实现。
有关完整详情,请查看 NGINX 披露。
漏洞让你感到暴露在外?我们可以提供帮助。
从今天的 Windows RPC RCE 和 NGINX-LDAP 参考实现 RCE 到上个月的 Spring 漏洞,很明显 软件漏洞 永远存在。
大多数公司都专注于快速响应策略,以降低代码和客户的风险,但这是一种被动的方法,尽管很重要,但可能会使您处于风险之中。我们认为,主动制定策略来构建安全代码、提高开发人员的技能以及创建以安全为中心的文化是保护自己免受威胁的最佳方式。
在软件开发生命周期开始时强调开发人员驱动的安全性将增强保护,提高代码部署的效率,并为您节省时间和金钱。
Secure Code Warrior 在这里为我们提供独一无二的帮助 训练平台 从教育内容到亲身实践应用您的团队正在学习的新技能。
探索如何做 安全代码勇士学习平台 可以帮助培训您的开发人员掌握安全编码。
在安全和保护数据方面,快速响应最新进展至关重要。毕竟,黑客攻击和威胁随时可能出现,因此保持警惕很重要。这里在 安全代码勇士,我们努力向您提供有关最新漏洞、应采取哪些措施来降低风险以及如何保护您的用户的最新信息。就像最近的公告一样,可以帮助你 Spring 库漏洞,我们在这里讨论两个新发现的漏洞。
今天,我们将重点关注两个新漏洞:第一个是微软的服务器消息块,被称为 “Windows RPC RCE”,第二个是被称为 “LDAP 参考实现” 的 NGINX。
请继续阅读,了解我们到目前为止对这些漏洞的了解以及您可以采取哪些措施来降低风险。
微软 Windows RPC RCE-CVE-2022-26809
在四月的周二补丁中,微软 披露了一个漏洞 在其服务器消息块 (SMB) 功能中,特别是零件处理 RPC。这听起来可能很熟悉,因为该漏洞与 CVE-2003-0352 类似,后者使用了这种漏洞 蠕虫冲击波 一直追溯到 2003 年!
被剥削的风险和可能性是多少?
微软的公告表明 “攻击复杂度” “低”,并进行了评估 剥削风险 成为 “剥削的可能性更大”,这是在未经证实的野外剥削的情况下的最高水平。
当前,尚无已知的漏洞,但由于攻击复杂性低以及 “更有可能” 的漏洞评估,有人担心恶意行为者可以通过Blaster攻击快速轻松地利用这一优势。
研究人员已经在公共互联网上发现了大量可访问端口139/445的主机,如果要进行大规模探索,这非常令人担忧。
Quelles mesures les utilisateurs devraient-ils prendre pour réduire les risques ?
幸运的是,降低被此漏洞利用的风险相对容易。
- 确保阻止从互联网访问端口 139 和 445,并在需要访问时,将其限制为仅限内部访问。你可以从微软的文档中找到更多细节 这里。
- 应用微软于 2022 年 4 月 12 日发布的补丁。
NGINX-LDAP 参考实现 RCE
NGINX 披露 2022年4月11日,出现了一个名为 “LDAP参考实现RCE” 的新漏洞,该漏洞允许在系统上远程执行代码(RCE)。
漏洞是什么?
此漏洞是独一无二的,因为它不影响用于生产或常见敏感系统的代码。相反,正如名称中的 “参考实现” 所示,代码的目的是演示 LDAP 集成如何在 NGINX 设置中工作。
谁处于危险之中,你应该怎么做才能保护你的代码?
幸运的是,默认情况下,NGINX 不易受到攻击。主要风险是安装 LDAP 扩展时。即便如此,还需要满足其他多个条件才能利用该漏洞。我们建议采取的一项措施是,如果您使用参考实现,请务必切换到使用可用于生产的实现。
有关完整详情,请查看 NGINX 披露。
漏洞让你感到暴露在外?我们可以提供帮助。
从今天的 Windows RPC RCE 和 NGINX-LDAP 参考实现 RCE 到上个月的 Spring 漏洞,很明显 软件漏洞 永远存在。
大多数公司都专注于快速响应策略,以降低代码和客户的风险,但这是一种被动的方法,尽管很重要,但可能会使您处于风险之中。我们认为,主动制定策略来构建安全代码、提高开发人员的技能以及创建以安全为中心的文化是保护自己免受威胁的最佳方式。
在软件开发生命周期开始时强调开发人员驱动的安全性将增强保护,提高代码部署的效率,并为您节省时间和金钱。
Secure Code Warrior 在这里为我们提供独一无二的帮助 训练平台 从教育内容到亲身实践应用您的团队正在学习的新技能。
探索如何做 安全代码勇士学习平台 可以帮助培训您的开发人员掌握安全编码。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
在安全和保护数据方面,快速响应最新进展至关重要。毕竟,黑客攻击和威胁随时可能出现,因此保持警惕很重要。这里在 安全代码勇士,我们努力向您提供有关最新漏洞、应采取哪些措施来降低风险以及如何保护您的用户的最新信息。就像最近的公告一样,可以帮助你 Spring 库漏洞,我们在这里讨论两个新发现的漏洞。
今天,我们将重点关注两个新漏洞:第一个是微软的服务器消息块,被称为 “Windows RPC RCE”,第二个是被称为 “LDAP 参考实现” 的 NGINX。
请继续阅读,了解我们到目前为止对这些漏洞的了解以及您可以采取哪些措施来降低风险。
微软 Windows RPC RCE-CVE-2022-26809
在四月的周二补丁中,微软 披露了一个漏洞 在其服务器消息块 (SMB) 功能中,特别是零件处理 RPC。这听起来可能很熟悉,因为该漏洞与 CVE-2003-0352 类似,后者使用了这种漏洞 蠕虫冲击波 一直追溯到 2003 年!
被剥削的风险和可能性是多少?
微软的公告表明 “攻击复杂度” “低”,并进行了评估 剥削风险 成为 “剥削的可能性更大”,这是在未经证实的野外剥削的情况下的最高水平。
当前,尚无已知的漏洞,但由于攻击复杂性低以及 “更有可能” 的漏洞评估,有人担心恶意行为者可以通过Blaster攻击快速轻松地利用这一优势。
研究人员已经在公共互联网上发现了大量可访问端口139/445的主机,如果要进行大规模探索,这非常令人担忧。
Quelles mesures les utilisateurs devraient-ils prendre pour réduire les risques ?
幸运的是,降低被此漏洞利用的风险相对容易。
- 确保阻止从互联网访问端口 139 和 445,并在需要访问时,将其限制为仅限内部访问。你可以从微软的文档中找到更多细节 这里。
- 应用微软于 2022 年 4 月 12 日发布的补丁。
NGINX-LDAP 参考实现 RCE
NGINX 披露 2022年4月11日,出现了一个名为 “LDAP参考实现RCE” 的新漏洞,该漏洞允许在系统上远程执行代码(RCE)。
漏洞是什么?
此漏洞是独一无二的,因为它不影响用于生产或常见敏感系统的代码。相反,正如名称中的 “参考实现” 所示,代码的目的是演示 LDAP 集成如何在 NGINX 设置中工作。
谁处于危险之中,你应该怎么做才能保护你的代码?
幸运的是,默认情况下,NGINX 不易受到攻击。主要风险是安装 LDAP 扩展时。即便如此,还需要满足其他多个条件才能利用该漏洞。我们建议采取的一项措施是,如果您使用参考实现,请务必切换到使用可用于生产的实现。
有关完整详情,请查看 NGINX 披露。
漏洞让你感到暴露在外?我们可以提供帮助。
从今天的 Windows RPC RCE 和 NGINX-LDAP 参考实现 RCE 到上个月的 Spring 漏洞,很明显 软件漏洞 永远存在。
大多数公司都专注于快速响应策略,以降低代码和客户的风险,但这是一种被动的方法,尽管很重要,但可能会使您处于风险之中。我们认为,主动制定策略来构建安全代码、提高开发人员的技能以及创建以安全为中心的文化是保护自己免受威胁的最佳方式。
在软件开发生命周期开始时强调开发人员驱动的安全性将增强保护,提高代码部署的效率,并为您节省时间和金钱。
Secure Code Warrior 在这里为我们提供独一无二的帮助 训练平台 从教育内容到亲身实践应用您的团队正在学习的新技能。
探索如何做 安全代码勇士学习平台 可以帮助培训您的开发人员掌握安全编码。
Table des matières
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
