来自 安全 2021-04-08 22:21 的文章

服务器老是被攻击_排名靠前的_上海纸牌防御

服务器老是被攻击_排名靠前的_上海纸牌防御

更新:Oracle修补了Java 6 Update 51中的CVE-2013-2463漏洞,但此版本仅适用于具有付费Premier支持合同的商业版Java订户。如果您在组织中依赖于Java6,那么您应该研究这种支持选项。原始:CVE-2013-2463是Java 2D子组件中的一个漏洞,Oracle在2013年6月Java 7的关键补丁更新中解决了该漏洞。Java 6(包括最新的u45)也有与Oracle在CPU中承认的相同的漏洞,但由于Java 6在2013年4月停止使用,它已不再受支持,该漏洞没有修补程序。

cve-2013-2463

本质上,这是一个隐含的0天漏洞:我们知道它的存在,但手头没有补丁。每当一个软件包失去支持时,就会发生这种情况,我们在QualysGuard中用"EOL/obsolited"检测跟踪这些实例,在本例中:QID:105490 EOL/obsolited software:Oracle Java SE/JRE/JDK 6/1.6 detected,但这一次,情况变得更严重了。正如Matthew Schwartz在Informationweek中报道的那样,F-Secure已经在java6中发现了针对这个漏洞的攻击。此外,他们还发现它被包括在中微子探索工具包中,这保证了它会被广泛采用。此外,我们仍然看到Java6的安装率非常高(略高于50%),这意味着许多组织都很容易受到攻击。我们将这归因于组织在运行需要使用Java 6的软件应用程序时遇到的锁定。毫无疑问,组织应该在可能的情况下更新到Java 7,被ddos怎么防御,这意味着IT管理员需要与供应商核实是否存在升级路径。然而,我已经和一些组织讨论过,他们指出他们不能更新或禁用Java,ip防御ddos,因为这会影响业务关键型应用程序。所以从本质上说,他们接受过时Java的风险,以便能够继续开展业务。一些组织已经开始使用Java(例如Etsy),但这似乎是相当罕见的努力。为了对于Java6的用户,查看Javaapplet的白名单可能会很有用。internetexplorer通过其"区域"的概念来支持这种现成的解决方案,虽然它不是一个完美的解决方案,但它应该处理最常见的攻击向量——嵌入网页中的applet。请参阅我们上一篇关于Java的文章,了解如何处理这个。我们会随时通知您有关此问题的任何更新博客.RelatedNewJava 0-day漏洞-更新2013年1月10日"漏洞法则"Oracle Java 0-day带外发行版3月24日,"漏洞定律"中的2016年Oracle CPU 2013年10月13日2013年10月15日"漏洞定律"