检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
开源组件Fastjson远程代码执行漏洞 2019年07月12日,华为云应急响应中心检测到开源组件Fastjson存在远程代码执行漏洞,此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,可直接获取服务器权限,危害严重。 影响的版本范围 漏洞影响的产品版本包括:Fastjson
备和网站等。 漏洞扫描服务是华为乾坤的一个子服务,由部署在云端的漏洞扫描引擎服务和管理服务,以及部署在客户网络边界的天关/防火墙构成,如图1所示。 图1 产品架构图 云端的漏洞扫描引擎服务和管理服务主要提供以下功能: 漏洞扫描:通过扫描客户资产,发现资产中存在的漏洞,识别资产的脆
漏洞修复策略 RDS for MySQL漏洞修复周期 高危漏洞: MySQL社区发现漏洞并发布修复方案后,一般在1个月内,华为云RDS for MySQL会完成漏洞全量分析,涉及且评定为高危的漏洞,进行主动预警升级。 其他漏洞: 其他漏洞请参见内核版本说明,按照版本正常升级流程解决。
漏洞修复策略 漏洞修复周期 高危漏洞: Redis社区发现漏洞并发布修复方案后,DCS会同步开源社区修复方案,并针对Redis内核变动做充分测试验证,一般在1~3个月内进行修复,修复策略与社区保持一致。 其他漏洞: 其他漏洞请参见版本发布记录,按照版本正常升级流程解决。 修复声明
创建主机漏洞扫描任务 操作场景 该任务指导用户通过漏洞管理服务开启主机扫描。 开启主机扫描后,漏洞管理服务将对主机进行漏洞扫描与基线检测。 漏洞管理服务的基础版不支持主机扫描功能,如果您是基础版用户,请通过以下方式使用主机扫描功能: 购买专业版、高级版或企业版。 按需计费,每次最多可以扫描20台主机。
Java Spring框架远程代码执行高危漏洞 Spring是一款主流的Java EE轻量级开源框架,面向服务器端开发设计。近日,Spring框架被曝出可导致RCE远程代码执行的漏洞,该漏洞攻击面较广,潜在危害严重,对JDK 9及以上版本皆有影响。 漏洞名称 Spring框架RCE
下载漏洞扫描报告 背景信息 漏洞扫描服务支持对完成漏洞扫描的资产导出漏洞扫描报告。对于执行多次扫描任务的资产,漏洞扫描服务支持跨任务导出报告,多次扫描任务检出的重复漏洞将会合并报告同时剔除已处置和非问题的漏洞介绍,方便用户更加准确地获取资产安全信息。 操作步骤 登录华为乾坤控制台,选择“
漏洞分析概览 统计漏洞类型及分布情况。 图3 漏洞类型分析 服务端口列表 查看目标网站的所有端口信息。 图4 网站的端口列表 漏洞根因及详情 您可以根据修复建议修复漏洞。 图5 漏洞根因及详情 父主题: 使用漏洞管理服务进行网站漏洞扫描
洞名称进行筛选查看目标类漏洞详情。 图1 主机漏洞 表1 主机漏洞参数说明 参数名称 参数说明 漏洞名称 扫描出的漏洞名称。 单击漏洞名称,可查看该漏洞的简介、相关漏洞库信息。 IP 主机的IP地址。 漏洞等级 按照漏洞的危险程度分为:“高危”、“中危”、“低危”、“提示”。 修复建议
录入待漏洞扫描资产 背景信息 在对资产进行漏洞扫描前,需要先确保资产已录入华为乾坤云平台。 可扫描资产的判定规则请参见约束与限制。 操作步骤 登录华为乾坤控制台,选择“资源中心 > 资产管理”。 先在左侧列表选择“按资产组 > 全部资产”,再在右侧列表中单击“全部资产”页签,单击“手动录入”。
漏洞公告 漏洞修复策略
我的服务 > 漏洞扫描服务”。 查看漏洞扫描服务首页。 图1 漏洞扫描服务首页 表1 漏洞扫描服务首页介绍 板块 模块 说明 服务价值呈现 漏洞扫描服务为您守护资产X天 展示已使用服务的天数、已执行漏洞扫描的次数、累计发现资产的个数、总计发现漏洞的个数和关联资产、待处置漏洞的个数和等级、已发现漏洞的修复优先级和处置状态。
下载扫描报告后,您可以根据扫描结果,对漏洞进行修复,报告模板主要内容说明如下:(以下截图中的数据仅供参考,请以实际扫描报告为准)。 应用基本信息检测:应用检测的基本信息和检测概况。 图1 应用基本信息 应用漏洞检测:您可以参考每个组件扫描出的漏洞详细信息修复漏洞。 图2 应用漏洞检测 应用权限信息检测
查看网站漏洞信息 查看漏洞分布比例及漏洞等级分布比例,如图2。 图2 网站漏洞 查看漏洞详情列表,网站漏洞参数说明如表1。 图3 网站漏洞详情列表 表1 网站漏洞参数说明 参数名称 参数说明 漏洞名称/漏洞ID 扫描出的漏洞名称。 单击漏洞名称,可查看该漏洞的简介、相关漏洞库信息。
在左侧导航树选择“风险预防 > 漏洞管理”,进入漏洞管理界面。 在漏洞管理界面左上方,选择“主机视图”,查看漏洞相关信息。 图3 查看漏洞详情 查看漏洞扫描结果概览 在漏洞管理界面上方的漏洞数据统计区域,查看漏洞扫描结果汇总,相关参数说明请参见表 漏洞扫描概览参数说明。 表2 漏洞扫描概览参数说明
用户指南 网站漏洞扫描 丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告 具有OWASP TOP10和WASC的漏洞检测能力,支持扫描22种类型以上的漏洞。 扫描规则云端自动更新,全网生效,及时涵盖最新爆发的漏洞。 支持HTTPS扫描 发布区域:
Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)公告 漏洞描述 近日,华为云关注到Apache Log4j2存在一处远程代码执行漏洞(CVE-2021-44228),在引入Apache Log4j2处理日志时,会对用户输入的内容进行一些特殊的处理,攻击
了解 基于云端实现代码质量管理的服务。 产品介绍 什么是代码检查 产品优势 03 使用 学习如何在代码检查中开始您的实际工作。 任务创建 创建检查任务 规则集设置 配置代码检查规则集 自定义代码检查规则集 任务设置 任务设置 任务执行 执行代码检查任务 查看代码检查详情 02 入门
strings 扫描的应急漏洞id列表,若为空则扫描所有应急漏洞 包含如下: "URGENT-CVE-2023-46604 Apache ActiveMQ远程代码执行漏洞" "URGENT-HSSVD-2020-1109 Elasticsearch 未授权访问漏洞" "URGENT-CVE-2022-26134
扫描的安全漏洞告警如何分析定位? 针对移动扫描的安全漏洞,如何通过报告提供的信息进行分析、定位、修复?检测结果提供了如下信息: 报告提供了问题代码信息,包括文件名及其路径,可以通过该信息快速定位到问题文件。 针对部分检测问题,如签名安全检测告警,无具体问题文件显示。 漏洞特征信息,主要为安全漏洞所涉及的函数代码。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
