原理
这个漏洞实际上非常简单,ElasticSearch有脚本执行(scripting)的功能,可以很方便地对查询出来的数据再加工处理。
ElasticSearch用的脚本引擎是MVEL,这个引擎没有做任何的防护,或者沙盒包装,所以直接可以执行任意代码。
而在ElasticSearch里,默认配置是打开动态脚本功能的,因此用户可以直接通过http请求,执行任意代码。
其实官方是清楚这个漏洞...
分类:
其他好文 时间:
2014-05-24 18:04:15
阅读次数:
223
OpenSSL Security Advisory [07 Apr
2014]========================================TLS heartbeat read overrun
(CVE-2014-0160)=============================...
分类:
其他好文 时间:
2014-05-14 18:07:34
阅读次数:
1036
python 解析html文档模块HTMLPaeser
ID
检测名称
CVE号
检测类别
风险级别
1
FTP缓冲区溢出
CVE-1999-0789...
分类:
编程语言 时间:
2014-05-09 00:38:52
阅读次数:
418
在一些文章和报道中经常提到安全漏洞CVE-1999-1046这种CVE开头的漏洞编号,这篇文章将常见的漏洞ID的表示方法做下介绍:
1、以CVE开头,如CVE-1999-1046这种
CVE 的英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名...
分类:
其他好文 时间:
2014-05-08 16:11:10
阅读次数:
309
当今社会,电子商务大行其道,作为网络安全 infrastructure之一的 -- SSL/TLS
协议的重要性已不用多说。OpenSSL 则是基于该协议的目前应用最广泛的开源实现,其影响之大,以至于四月初爆出的 OpenSSL Heartbleed
安全漏洞(CVE-2014-0160) 到现在还...
分类:
其他好文 时间:
2014-05-06 08:54:58
阅读次数:
359
