SOFARPC< 5.12.0 反序列化漏洞
漏洞描述
SOFARPC 是一个高性能、高扩展性、生产级 Java RPC 框架。
SOFARPC 默认使用 SOFA Hessian 协议来反序列化接收到的数据,而 SOFA Hessian 协议使用黑名单来限制不安全的反序列化类。由于黑名单过滤不完全,攻击者可以通过构造利用链(只依赖于JDK,不依赖任何第三方组件)绕过SOFA Hessian黑名单保护机制,导致远程代码执行。
| 漏洞名称 | SOFARPC< 5.12.0 反序列化漏洞 |
|---|---|
| 漏洞类型 | 反序列化 |
| 发现时间 | 2024-01-24 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-rm4h-is76 |
| CVE编号 | CVE-2024-23636 |
| CNVD编号 | - |
影响范围
com.alipay.sofa:rpc-sofa-boot-starter@(-∞, 5.12.0)
修复方案
将 com.alipay.sofa:rpc-sofa-boot-starter 升级至 5.12.0 及以上版本
java 启动时配置黑名单类,类似于:-Drpc_serialize_blacklist_override=org.apache.xpath.
参考链接
https://www.oscs1024.com/hd/MPS-rm4h-is76
https://nvd.nist.gov/vuln/detail/CVE-2024-23636
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
讯飞发布星火认知大模型 V3.5
讯飞昨天举办新品发布会,正式发布了星火认知大模型 V3.5,其在逻辑推理、语言理解、文本生成、数学答题、代码、多模态等核心能力均显著提升。 据了解,星火认知大模型 V3.5 带来七大能力提升,文本生成提升 7.3%,语言理解提升 7.6%,知识问答提升 4.7%,逻辑推理提升 9.5%,数学能力提升 9.8%,代码能力提升 8.0%,多模态能力提升 6.6%。 https://xinghuo.xfyun.cn/ 此外,星火认知大模型 V3.5 的语言理解、数学能力号称已经超过 GPT-4 Turbo,代码能力达到 GPT-4 Turbo 96%,多模态理解达到 GPT-4V 91%。 讯飞还在发布会上推出星火语音大模型、星火开源大模型“星火开源-13B”等产品。 据科大讯飞披露的数据,目前其开发者生态中大模型开发者有35万。各家大模型厂商所提供的API调用价格都相差不大,面向开发者的竞争重点仍是基础大模型能力、开发工具及相关服务。有创业者专门测试对比了国内主流大模型产品与GPT4,得到的结论是“有很大进步空间”。刘庆峰于会上再次强调,星火大模型预计将于今年上半年赶上GPT4最好水平。
- 下一篇
Google Chrome<121.0.6167.85 Web Audio 释放后使用漏洞
漏洞描述 Google Chrome 是 Google 公司开发的网页浏览器。Web Audio 是用于在浏览器中进行音频处理和合成的 API。 Google Chrome 121.0.6167.85 之前版本中的 Web Audio 在重新创建与电脑、手机、VR浏览器等目标平台的连接并断开连接后,图形渲染过程中自动拉取节点的扇出数与主线程的扇出数可能不匹配,从而导致释放后使用漏洞。远程攻击者可利用该漏洞诱导用户访问恶意构造的 HTML 页面造成堆破坏,进而导致浏览器崩溃或远程代码执行。 补丁版本通过强制在图形渲染之前更新自动拉取节点的渲染状态,以确保在执行音频处理函数调用之前,扇出数保持一致修复此漏洞。 漏洞名称 Google Chrome<121.0.6167.85 Web Audio 释放后使用漏洞 漏洞类型 UAF 发现时间 2024-01-24 漏洞影响广度 广 MPS编号 MPS-dgzo-536e CVE编号 CVE-2024-0807 CNVD编号 - 影响范围 chrome@(-∞, 121.0.6167.85) chromium@(-∞, 121.0.6167...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- 2048小游戏-低调大师作品
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2全家桶,快速入门学习开发网站教程
微信收款码
支付宝收款码