murphysec

文章更新时间：2023年8月22日 17：40 组件简介 维护者 alibaba组织 许可证类型 Apache-2.0 首次发布 2015年5月10日 最新发布时间 2023年8月15日 依赖包 5,081 依赖存储库 117,744 Docker 依赖数 1,494 Docker 下载量 9,591,272 fastjson是阿里巴巴的开源JSON解析库，…

文章更新时间：2023-08-24 15:00 组件简介 维护者 qos-ch组织 许可证类型 EPL-1.0,LGPL-2.1+ 首次发布 2009年8月21日 最新发布时间 2023年8月24日 GitHub Star 2751 GitHub Fork 1226 依赖包 26,273 依赖存储库 144,092 官网：https://logback.qo…

开源软件是指软件源代码可以被共享和公共使用的软件。在人们享受开源软件的便捷性和广泛性同时，一旦发生开源软件安全漏洞，其危害程度大、波及范围广，将造成较大安全隐患，从而使对开源软件的治理成为一项重要内容。本文在分析开源软件安全风险的基础上，对国外开源软件安全治理模式进行研究，对我国开源软件安全治理工作存在的不足展开反思，基于以上研究，就如何更好地保障我国开源软…

当像2023年的MOVEit黑客攻击这样的网络攻击成为全球新闻头条时，人们往往关注受影响的组织名称或受影响的人数。虽然这种关注是可以理解的，但对类似MOVEit攻击中发生的事情进行适当分析对于制定具体的网络安全措施以防止类似事件发生是有用的。 本文概述了MOVEit黑客攻击，并旨在为您的业务提供一些重要的可操作性结论。 什么是MOVEit黑客攻击？ 2023…

自2023年8月初以来，已在npm软件包存储库中发现了十多个恶意软件包，这些软件包具有部署名为Luna Token Grabber的开源信息窃取器的能力，可针对属于Roblox开发人员的系统进行攻击。 这个持续进行的攻击活动最早在8月1日被ReversingLabs发现，它使用伪装成合法软件包noblox.js的模块，noblox.js是一个用于创建与Rob…

观察到一个之前未被识别的APT黑客组织名为“Carderbee”，该组织正在攻击香港和亚洲其他地区的组织，使用合法软件将PlugX恶意软件感染目标计算机。 据赛门铁克公司报道，供应链攻击中使用的合法软件是由中国开发者EsafeNet创建的Cobra DocGuard，用于数据加密/解密的安全应用程序。 Carderbee使用PlugX（一在中国国家支持的威胁…

漏洞类型 授权机制不恰当 发现时间 2023-08-22 漏洞等级 严重 MPS编号 MPS-e2z8-wdi6 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Smartbi 是思迈特软件旗下的一款商业智能应用，提供了数据集成、分析、可视化等功能，帮助用户理解和使用数据进行决策。Smartbi V6及其以上版本的 /smartbi/…

漏洞类型 路径遍历 发现时间 2023-08-22 漏洞等级 高危 MPS编号 MPS-6tdh-8qpu CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 致远A8是一款企业级的办公自动化软件，提供全方位的企业管理解决方案。致远A8协同管理系统在前台上传解压时存在漏洞，攻击者可利用此漏洞直接写入任意文件，进而获取目标系统的控制权限。上…

漏洞类型 代码注入 发现时间 2023-08-22 漏洞等级 高危 MPS编号 MPS-qjky-hw9x CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 WPS Office 软件是由金山办公软件股份有限公司自主研发的一款办公软件套装。由于对 WPSSRC-2023-0701 的修复不充分，WPS Office Windows 版本…

全国信息安全标准化技术委员会归口的国家标准《信息安全技术 软件产品开源代码安全评价方法》现已形成标准征求意见稿。 本文件给出了软件产品中的开源代码安全评价目标、评价指标体系和评价方法，评价指标体系涵盖开源代码来源、开源代码质量、开源代码知识产权和开源代码管理能力。 标准文本下载: https://pan.baidu.com/s/1Kw2GsrOoWDfa7r…