apache

Как закрытый 5 лет назад проект едва не привёл к катастрофе для цепочки поставок. Недавно исследователи в сфере безопасности выявили новую уязвимость типа Dependency Confusion (путаница зависимостей), влияющую на архивированный проект Apache под названием Cordova App Harness...

Кто стоит за новой вредоносной кампанией и какие цели преследует? Исследователи Aqua Security выявили новую вредоносную кампанию, направленную против стека больших данных Apache , в частности Hadoop, Druid и Flink. Злоумышленники используют уязвимости и неправильные настройки в...

Как взломать Android-приложение с помощью доменов? В ряде популярных библиотек, используемых в приложениях Java и Android , обнаружена уязвимость, которая делает их подверженными новому методу атаки на цепочку поставок ПО под названием MavenGate. Об этом сообщила компания по...

Godzilla использует неизвестный формат для обхода средств безопасности. Компания Trustwave предупреждает о заметном росте активности активного использования исправленной уязвимости в Apache ActiveMQ для доставки веб-оболочки Godzilla на скомпрометированные хосты. Веб-оболочки...

Aqua Security раскрывает слабые места в популярных продуктах Apache. Исследователи в области кибербезопасности обнаружили новый тип атаки, эксплуатирующей недостатки в конфигурации программного обеспечения Hadoop и Flink от Apache для развёртывания майнеров криптовалют в целевых системах...

Критическая CVE-2023-51467 стала объектом активного внимания к системам Apache. Специалисты компании VulnCheck разработали PoC-код (Proof-of-Concept, PoC), который использует недавно обнаруженную критическую уязвимость в ERP -системе (Enterprise Resource Planning, ERP) Apache OFBiz для...

Агентство призвало госучреждения срочно обновить ПО, чтобы избежать разрушительных кибератак. Агентство по кибербезопасности и защите инфраструктуры США ( CISA ) обновило свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerability, KEV ), включив в него 6...

RCE-уязвимость Apache OFBiz может стоить фирмам бизнеса и репутации. Компания SonicWall зафиксировала тысячи ежедневных попыток использовать уязвимости нулевого дня Apache OFBiz в течение почти двух недель. Недостаток был впервые обнародован 26 декабря, после чего количество попыток...

Кто и зачем ищет уязвимые системы Apache? Платформа ShadowServer ежедневно обнаруживает сотни IP-адресов, которые сканируют или пытаются использовать службы Apache RocketMQ, содержащие уязвимости удаленного выполнения кода (Remote Code Execution, RCE), обозначенные как CVE-2023-33246 и...

Исправленная 2 года назад уязвимость до сих пор актуальна для 38% приложений. Недавно исследователями безопасности из компании Veracode было выявлено , что около 38% приложений, использующих библиотеку Apache Log4j , работают на версиях, подверженных множеству уязвимостей безопасности...

Затронуты версии от 2.0.0 до 2.5.32 и от 6.0.0 до 6.3.0.1. Обновиться нужно как можно скорее. Разработчики Apache выпустили исправления критической уязвимости в популярном открытом веб-фреймворке Apache Struts 2 с идентификатором CVE-2023-50164 , которая может привести к удалённому...

Если ваш криптокошелёк был создан до 2016 года, стоит внимательно изучить все риски. Биткойн-кошельки, созданные в период с 2011 по 2015 год, могут быть уязвимы для нового типа эксплойта под названием Randstorm. Эксплойт позволяет восстанавливать пароли и получать несанкционированный доступ к...

Теперь стало намного проще взломать и захватить контроль над сервером. Компания VulnCheck продемонстрировала новую технику эксплуатации критической уязвимости в Apache ActiveMQ, позволяющую выполнять произвольный код в памяти. Уязвимость удалённого выполнения кода CVE-2023-46604 (CVSS...

Критическая уязвимость в более 3000 серверов открыла путь к масштабным кибератакам. Специалисты в области кибербезопасности обнаружили подозрительную активность, которая может быть связана с использованием недавно обнаруженной критической уязвимости в сервисе обмена сообщениями Apache...

Исследователи Trend Micro подробно рассказали о методах компрометации доверенных репозиториев. Одной из наиболее тревожных тенденций последних лет стал рост атак на программные цепочки поставок, особенно тех, которые затрагивают репозитории кода. По данным отчёта Европейского агентства...

Один вредоносный файл — и ваша информация у злоумышленников. На днях была публично раскрыта критическая уязвимость в открытом инструменте для очистки и преобразования данных OpenRefine . Недостаток безопасности может привести к произвольному выполнению кода на затронутых системах...

Если не обновитесь - кража данных неминуема. Специалисты ИБ-компании Cyfirma обнаружили опасную уязвимость удаленного выполнения кода (Remote Code Execution, RCE) в Apache NiFi, эксплуатация которой может привести к несанкционированному доступу и краже данных. Apache NiFi...

На каждую взломанную компанию обязательно найдётся свой покупатель. Финансово-мотивированная группировка Gold Melody недавно была идентифицирована как брокер начального доступа ( IAB ), который продаёт сторонним киберпреступникам доступ к скомпрометированным организациям для проведения...

CISA добавило в свой каталог уязвимость, которую нельзя игнорировать. Агентство кибербезопасности и защиты инфраструктуры США ( CISA ) добавило критическую уязвимость CVE-2023-33246 (CVSS: 9.8), влияющая на Apache RocketMQ, в свой каталог известных эксплуатируемых уязвимостей...

Разработчики уже выпустили исправление, применить его необходимо как можно скорее. Компания Apache выпустила обновления , закрывающие две новые уязвимости в популярной аналитической платформе SuperSet . Эксплуатация этих уязвимостей ( CVE-2023-39265 и CVE-2023-37941 ) позволяет...