November 27, 2017 - SSD Secure Disclosure

SSD Advisory – Synology StorageManager smart.cgi Remote Command Execution

2 Comments / Vulnerability publication / By SSD Secure Disclosure technical team

Vulnerability Summary The following advisory describes a remote command execution vulnerability found in Synology StorageManager. Storage Manager is “a management application that helps you organize and monitor the storage capacity on your Synology NAS. Depending on the model and number of installed hard drives, Storage Manager helps you accomplish the following tasks: Create different types …

SSD Advisory – Synology StorageManager smart.cgi Remote Command Execution Read More »

SSD安全公告–Linux内核AF_PACKET 释放后重用漏洞

Leave a Comment / Vulnerability publication / By SSD Secure Disclosure technical team

漏洞概要以下安全公告描述了在Linux内核的AF_PACKET中存在的一个UAF漏洞，成功利用该漏洞可能导致权限提升。 AF_PACKET套接字”允许用户在设备驱动层发送或者接收数据包”。例如，用户可以在物理层之上实现自己的协议，或者嗅探包含以太网或更高层协议头的数据包。漏洞提交者一名独立的安全研究人员发现并向 Beyond Security 的 SSD 报告了该漏洞。厂商响应更新一 CVE:CVE-2017-15649 “该漏洞很可能已经通过以下方式修复了： packet: 重新绑定fanout hook时保持绑定锁定 – http://patchwork.ozlabs.org/patch/813945/ 与此相关，但未合并的是 packet:在packet_do_bind函数中，使用bind_lock测试fanout – http://patchwork.ozlabs.org/patch/818726/ 我们验证了在v4.14-rc2上不会触发该漏洞，但在第一次commit(008ba2a13f2d)上测试成功。”

SSD安全公告–Ikraus Anti Virus 远程代码执行漏洞

1 Comment / Vulnerability publication / By SSD Secure Disclosure technical team

漏洞概要以下安全公告描述了在Ikraus Anti Virus 2.16.7中发现的一个远程代码执行漏洞。 KARUS anti.virus“可以保护你的个人数据和PC免受各种恶意软件的入侵。此外，反垃圾邮件模块可以保护用户免受垃圾邮件和电子邮件中的恶意软件攻击。选择获奖的IKARUS扫描引擎，可以有效保护自己免受网络犯罪分子的侵害。 IKARUS是世界上最好的扫描引擎，它每天都在检测未知和已知的威胁。漏洞提交者一位独立的安全研究人员向 Beyond Security 的 SSD 报告了该漏洞厂商响应更新一 CVE: CVE-2017-15643 厂商已经发布了这些漏洞的补丁。获取更多信息： https://www.ikarussecurity.com/about-ikarus/security-blog/vulnerability-in-windows-antivirus-products-ik-sa-2017-0001/

Day: November 27, 2017

SSD Advisory – Synology StorageManager smart.cgi Remote Command Execution

SSD安全公告–Linux内核AF_PACKET 释放后重用漏洞

SSD安全公告–Ikraus Anti Virus 远程代码执行漏洞

Get in touch

?

?

Get in touch