厂商发布
厂商对产品安全、配置或策略的更新说明。
-
Linux Kernel "Dirty Frag" 本地权限提升漏洞风险通告
阿里云安全监测到 Linux Kernel 存在一个本地权限提升漏洞,代号"Dirty Frag"(暂无完整 CVE 编号)。该漏洞允许本地无特权攻击者通过组合利用 xfrm-ESP(CVE-2026-43284)与 RxRPC 两个页缓存写入缺陷,在无需竞争条件的情况下于主流 Linux 发行版上获取 root 权限。 阿里云安全建议您尽快开展自查,若在受影响范围内,请及时更新修复,防止被攻击者利用后导致入侵。 漏洞详情 Linux Kernel 是全球使用最广泛的开源操作系统内核,承担硬件管理、进程调度、内存管理、文件系统及网络通信等底层核心功能。该
阿里云安全监测到 Linux Kernel 存在一个本地权限提升漏洞,代号"Dirty Frag"(暂无完整 CVE 编号)。该漏洞允许本地无特权攻击者通过组合利用 xfrm-ESP(CVE-2026-43284)与 RxRPC 两个页缓存写入缺陷,在无需竞争条件的情况下于主流 Linux 发行版上获取 root 权限。 阿里云安全建议您尽快开展自查,若在受影响范围内,请及时更新修复,防止被攻击者利用后导致入侵。 漏洞详情 Linux Kernel 是全球使用最广泛的开源操作系统内核,承担硬件管理、进程调度、内存管理、文件系统及网络通信等底层核心功能。该阿里云安全监测到 Linux Kernel 存在一个本地权限提升漏洞,代号"Dirty Frag"(暂无完整 CVE 编号)。该漏洞允许本地无特权攻击者通过组合利用 xfrm-ESP(CVE-2026-43284)与 RxRPC 两个页缓存写入缺陷,在无需竞争条件的情况下于主流 Linux 发行版上获取 root 权限。 阿里云安全建议您尽快开展自查,若在受影响范围内,请及时更新修复,防止被攻击者利用后导致入侵。 漏洞详情 Linux Kernel 是全球使用最广泛的开源操作系统内核,承担硬件管理、进程调度、内存管理、文件系统及网络通信等底层核心功能。该扩展字段
{ "bulletin_type": "security", "bulletin_type_detail": "hole_notice", "ext_info": { "delistLink": "", "offLineLink": "", "offLineType": "", "processInstanceId": "5362d184-ad85-4ea0-80ef-e4a9fcbf4ff0", "processUrl": "https://bpms.alibaba-inc.com/workdesk/instDetailLegao?__id=inist_detail&procInsId=5362d184-ad85-4ea0-80ef-e4a9fcbf4ff0", "publishType": "auto", "refundUrl": "", "secondaryChangeTypeLabel": "/漏洞通告" }, "impact_time": "[]", "impact_time_type": "not-set", "language": "zh", "product_code": "", "product_info": "", "status": "published" } -
Linux Kernel 本地权限提升漏洞风险通告(CVE-2026-31431)
尊敬的阿里云用户,您好! 阿里云安全监测到,互联网上披露了Linux Kernel 存在本地权限提升漏洞,漏洞编号CVE-2026-31431。可导致本地低权限攻击者利用 AF_ALG 加密接口与 splice() 系统调用,实现向任意可读文件的页缓存中写入受控的4字节数据,进而通过篡改 setuid 二进制文件获得 root 权限等危害。 容器场景下官方提示也可能受影响,建议也重点关注。为避免您的业务受影响,建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复。 漏洞详情 Linux Kernel 是全球最广泛使用的开源操作系统内核,它是 Li
尊敬的阿里云用户,您好! 阿里云安全监测到,互联网上披露了Linux Kernel 存在本地权限提升漏洞,漏洞编号CVE-2026-31431。可导致本地低权限攻击者利用 AF_ALG 加密接口与 splice() 系统调用,实现向任意可读文件的页缓存中写入受控的4字节数据,进而通过篡改 setuid 二进制文件获得 root 权限等危害。 容器场景下官方提示也可能受影响,建议也重点关注。为避免您的业务受影响,建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复。 漏洞详情 Linux Kernel 是全球最广泛使用的开源操作系统内核,它是 Li尊敬的阿里云用户,您好! 阿里云安全监测到,互联网上披露了Linux Kernel 存在本地权限提升漏洞,漏洞编号CVE-2026-31431。可导致本地低权限攻击者利用 AF_ALG 加密接口与 splice() 系统调用,实现向任意可读文件的页缓存中写入受控的4字节数据,进而通过篡改 setuid 二进制文件获得 root 权限等危害。 容器场景下官方提示也可能受影响,建议也重点关注。为避免您的业务受影响,建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复。 漏洞详情 Linux Kernel 是全球最广泛使用的开源操作系统内核,它是 Li扩展字段
{ "bulletin_type": "security", "bulletin_type_detail": "hole_notice", "ext_info": { "delistLink": "", "offLineLink": "", "offLineType": "", "processInstanceId": "c28c8334-7ec5-478d-8b0d-5e7b8089cc28", "processUrl": "https://bpms.alibaba-inc.com/workdesk/instDetailLegao?__id=inist_detail&procInsId=c28c8334-7ec5-478d-8b0d-5e7b8089cc28", "publishType": "auto", "refundUrl": "", "secondaryChangeTypeLabel": "/漏洞通告" }, "impact_time": "[]", "impact_time_type": "not-set", "language": "zh", "product_code": "", "product_info": "", "status": "published" } -
关于 iOS 26.4 兼容性风险及 Bot App SDK 升级公告
为了保障您旗下 App 的稳定性及终端用户的使用体验,我们监测到一项重要的兼容性风险,特此通知您尽快完成 Bot App SDK 的版本升级。 1. 风险说明与影响范围 经阿里云 WAF 监测发现,Apple 即将发布 iOS 26.4 版本(目前为 Beta 版)。经测试验证,当前集成的 Bot App SDK 1.x - 3.x 版本 与 iOS 26.4 Beta 版系统存在兼容性冲突。 受影响现象: 若未升级Bot App SDK,当您的终端用户升级至 iOS 26.4 系统后,其设备上的 App 可能会出现崩溃、闪退等严重稳定性问题。 影响范围
为了保障您旗下 App 的稳定性及终端用户的使用体验,我们监测到一项重要的兼容性风险,特此通知您尽快完成 Bot App SDK 的版本升级。 1. 风险说明与影响范围 经阿里云 WAF 监测发现,Apple 即将发布 iOS 26.4 版本(目前为 Beta 版)。经测试验证,当前集成的 Bot App SDK 1.x - 3.x 版本 与 iOS 26.4 Beta 版系统存在兼容性冲突。 受影响现象: 若未升级Bot App SDK,当您的终端用户升级至 iOS 26.4 系统后,其设备上的 App 可能会出现崩溃、闪退等严重稳定性问题。 影响范围为了保障您旗下 App 的稳定性及终端用户的使用体验,我们监测到一项重要的兼容性风险,特此通知您尽快完成 Bot App SDK 的版本升级。 1. 风险说明与影响范围 经阿里云 WAF 监测发现,Apple 即将发布 iOS 26.4 版本(目前为 Beta 版)。经测试验证,当前集成的 Bot App SDK 1.x - 3.x 版本 与 iOS 26.4 Beta 版系统存在兼容性冲突。 受影响现象: 若未升级Bot App SDK,当您的终端用户升级至 iOS 26.4 系统后,其设备上的 App 可能会出现崩溃、闪退等严重稳定性问题。 影响范围扩展字段
{ "bulletin_type": "security", "bulletin_type_detail": "risk_notice", "ext_info": { "delistLink": "", "offLineLink": "", "offLineType": "", "processInstanceId": "1d528d27-d6f7-4a48-8959-3de0d86d65b6", "processUrl": "https://bpms.alibaba-inc.com/workdesk/instDetailLegao?__id=inist_detail&procInsId=1d528d27-d6f7-4a48-8959-3de0d86d65b6", "publishType": "auto", "refundUrl": "", "secondaryChangeTypeLabel": "/风险通告" }, "impact_time": "[]", "impact_time_type": "not-set", "language": "zh", "product_code": "", "product_info": "", "status": "published" } -
MongoDB 堆内存信息泄露漏洞风险通告(CVE-2025-14847)
2025年12月19日,阿里云安全中心监测到,MongoDB 官方发布安全通告,披露了 Zlib 压缩协议存在堆内存信息泄露漏洞(CVE-2025-14847)。未经身份验证的远程攻击者可通过发送特制的 Zlib 压缩数据包,读取目标服务器堆内存中未初始化的堆内存,导致敏感数据泄漏。 为避免您的业务受影响,阿里云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞情况 MongoDB 是一款面向 Web 应用的高性能、可扩展数据库,采用分布式存储架构。据官方描述,受影响的 MongoDB Server 版本在处理
2025年12月19日,阿里云安全中心监测到,MongoDB 官方发布安全通告,披露了 Zlib 压缩协议存在堆内存信息泄露漏洞(CVE-2025-14847)。未经身份验证的远程攻击者可通过发送特制的 Zlib 压缩数据包,读取目标服务器堆内存中未初始化的堆内存,导致敏感数据泄漏。 为避免您的业务受影响,阿里云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞情况 MongoDB 是一款面向 Web 应用的高性能、可扩展数据库,采用分布式存储架构。据官方描述,受影响的 MongoDB Server 版本在处理2025年12月19日,阿里云安全中心监测到,MongoDB 官方发布安全通告,披露了 Zlib 压缩协议存在堆内存信息泄露漏洞(CVE-2025-14847)。未经身份验证的远程攻击者可通过发送特制的 Zlib 压缩数据包,读取目标服务器堆内存中未初始化的堆内存,导致敏感数据泄漏。 为避免您的业务受影响,阿里云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞情况 MongoDB 是一款面向 Web 应用的高性能、可扩展数据库,采用分布式存储架构。据官方描述,受影响的 MongoDB Server 版本在处理扩展字段
{ "bulletin_type": "security", "bulletin_type_detail": "hole_notice", "ext_info": { "delistLink": "", "offLineLink": "", "offLineType": "", "processInstanceId": "f161d3d0-71a0-403b-9509-071c2a3a00a9", "processUrl": "https://bpms.alibaba-inc.com/workdesk/instDetailLegao?__id=inist_detail&procInsId=f161d3d0-71a0-403b-9509-071c2a3a00a9", "publishType": "auto", "refundUrl": "", "secondaryChangeTypeLabel": "/漏洞通告" }, "impact_time": "[]", "impact_time_type": "not-set", "language": "zh", "product_code": "", "product_info": "", "status": "published" } -
- 关于云数据库 MongoDB 版实例安全风险配置的紧急处理(CVE-2025-14847)
根据 MongoDB Inc. 官方安全通告(CVE-2025-14847),若您的云数据库 MongoDB 版实例同时满足以下条件,可能存在安全风险: 启用了 Zlib 压缩算法 开启了公网访问 数据库白名单设置为0.0.0.0/0 如您的账号存在与上述风险配置有关的实例,为避免潜在攻击威胁,请立即采取以下临时措施: 操作建议:尽量规避 Zlib 压缩算法,采用其他的压缩方式。您可将实例内核参数 net.compression.compressors 的值修改为 snappy 或 zstd。需要注意的是,该参数修改生效涉及实例重启。具体操作请参见设置数
根据 MongoDB Inc. 官方安全通告(CVE-2025-14847),若您的云数据库 MongoDB 版实例同时满足以下条件,可能存在安全风险: 启用了 Zlib 压缩算法 开启了公网访问 数据库白名单设置为0.0.0.0/0 如您的账号存在与上述风险配置有关的实例,为避免潜在攻击威胁,请立即采取以下临时措施: 操作建议:尽量规避 Zlib 压缩算法,采用其他的压缩方式。您可将实例内核参数 net.compression.compressors 的值修改为 snappy 或 zstd。需要注意的是,该参数修改生效涉及实例重启。具体操作请参见设置数根据 MongoDB Inc. 官方安全通告(CVE-2025-14847),若您的云数据库 MongoDB 版实例同时满足以下条件,可能存在安全风险: 启用了 Zlib 压缩算法 开启了公网访问 数据库白名单设置为0.0.0.0/0 如您的账号存在与上述风险配置有关的实例,为避免潜在攻击威胁,请立即采取以下临时措施: 操作建议:尽量规避 Zlib 压缩算法,采用其他的压缩方式。您可将实例内核参数 net.compression.compressors 的值修改为 snappy 或 zstd。需要注意的是,该参数修改生效涉及实例重启。具体操作请参见设置数扩展字段
{ "bulletin_type": "security", "bulletin_type_detail": "hole_notice", "ext_info": { "delistLink": "", "offLineLink": "", "offLineType": "", "processInstanceId": "5502a7b5-7480-4d53-8efc-de12875b4b4b", "processUrl": "https://bpms.alibaba-inc.com/workdesk/instDetailLegao?__id=inist_detail&procInsId=5502a7b5-7480-4d53-8efc-de12875b4b4b", "publishType": "auto", "refundUrl": "", "secondaryChangeTypeLabel": "/漏洞通告" }, "impact_time": "[]", "impact_time_type": "not-set", "language": "zh", "product_code": "", "product_info": "", "status": "published" } -
React Server Components 远程代码执行漏洞风险通告(CVE-2025-55182)
2025年12月4日,阿里云安全监测到,Meta的React核心团队与Vercel的Next.js团队联合发布公告,披露了两个最高危险等级(Critical)的安全漏洞:CVE-2025-55182(React)和CVE-2025-66478 (Next.js),在一定条件下,攻击者可利用漏洞执行任意代码。同时,阿里云安全已经监测到有知名的黑客工具发布利用了该漏洞的模块。 为避免您的业务受影响,阿里云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞情况 React Server Components(RSC)
2025年12月4日,阿里云安全监测到,Meta的React核心团队与Vercel的Next.js团队联合发布公告,披露了两个最高危险等级(Critical)的安全漏洞:CVE-2025-55182(React)和CVE-2025-66478 (Next.js),在一定条件下,攻击者可利用漏洞执行任意代码。同时,阿里云安全已经监测到有知名的黑客工具发布利用了该漏洞的模块。 为避免您的业务受影响,阿里云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞情况 React Server Components(RSC)2025年12月4日,阿里云安全监测到,Meta的React核心团队与Vercel的Next.js团队联合发布公告,披露了两个最高危险等级(Critical)的安全漏洞:CVE-2025-55182(React)和CVE-2025-66478 (Next.js),在一定条件下,攻击者可利用漏洞执行任意代码。同时,阿里云安全已经监测到有知名的黑客工具发布利用了该漏洞的模块。 为避免您的业务受影响,阿里云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞情况 React Server Components(RSC)扩展字段
{ "bulletin_type": "security", "bulletin_type_detail": "hole_notice", "ext_info": { "delistLink": "", "offLineLink": "", "offLineType": "", "processInstanceId": "9895b891-7a52-4cc2-b843-fd440e6aa120", "processUrl": "https://bpms.alibaba-inc.com/workdesk/instDetailLegao?__id=inist_detail&procInsId=9895b891-7a52-4cc2-b843-fd440e6aa120", "publishType": "auto", "refundUrl": "", "secondaryChangeTypeLabel": "/漏洞通告" }, "impact_time": "[]", "impact_time_type": "not-set", "language": "zh", "product_code": "", "product_info": "", "status": "published" } -
阿里云美国地区的官网、控制台、OpenAPI的TLS升级变更通知
影响时间 北京时间 2025-07-07 00:00:00 至 2025-08-31 23:59:59 变更内容 将于影响时间内分批灰度对用户和业务进行灰度变更。变更后,阿里云美国地区对客服务的HTTPS所使用的TLS协议版本,将仅支持 TLS 1.2 及 以上版本与对应的TLS密码套件。 变更影响 低版本的客户浏览器和程序(不支持TLS1.2及以上版本),将无法正常使用HTTPS访问阿里云的服务。 应对方式 为了保障业务连续性,建议您尽快升级自身浏览器版本和应用程序版本。 如您有任何问题,可随时通过工单或者服务热线与我们联系。 附录: 各常见浏览器和常
影响时间 北京时间 2025-07-07 00:00:00 至 2025-08-31 23:59:59 变更内容 将于影响时间内分批灰度对用户和业务进行灰度变更。变更后,阿里云美国地区对客服务的HTTPS所使用的TLS协议版本,将仅支持 TLS 1.2 及 以上版本与对应的TLS密码套件。 变更影响 低版本的客户浏览器和程序(不支持TLS1.2及以上版本),将无法正常使用HTTPS访问阿里云的服务。 应对方式 为了保障业务连续性,建议您尽快升级自身浏览器版本和应用程序版本。 如您有任何问题,可随时通过工单或者服务热线与我们联系。 附录: 各常见浏览器和常影响时间 北京时间 2025-07-07 00:00:00 至 2025-08-31 23:59:59 变更内容 将于影响时间内分批灰度对用户和业务进行灰度变更。变更后,阿里云美国地区对客服务的HTTPS所使用的TLS协议版本,将仅支持 TLS 1.2 及 以上版本与对应的TLS密码套件。 变更影响 低版本的客户浏览器和程序(不支持TLS1.2及以上版本),将无法正常使用HTTPS访问阿里云的服务。 应对方式 为了保障业务连续性,建议您尽快升级自身浏览器版本和应用程序版本。 如您有任何问题,可随时通过工单或者服务热线与我们联系。 附录: 各常见浏览器和常扩展字段
{ "bulletin_type": "security", "bulletin_type_detail": "security_other", "ext_info": { "delistLink": "", "processInstanceId": "733302da-5f5e-48de-980f-904bb0c6c9a4", "processUrl": "https://bpms.alibaba-inc.com/workdesk/instDetailLegao?__id=inist_detail&procInsId=733302da-5f5e-48de-980f-904bb0c6c9a4", "publishType": "auto", "refundUrl": "", "secondaryChangeTypeLabel": "/安全其他" }, "impact_time": "[]", "impact_time_type": "not-set", "language": "zh", "product_code": "", "product_info": "", "status": "published" } -
关于用户AccessKey保管不当导致勒索和数据泄漏的风险预警
一、风险概览 近期,阿里云应急响应中心监测到多起因用户AccessKey被盗引发的数据泄漏和勒索事件。攻击者通过用户配置不当的Nacos应用获取云账号AccessKey(简称AK)和SecretKey(简称SK),利用其高权限特性窃取核心业务数据并强制释放云实例,进而实施勒索。 二、攻击分析 第一步:获取密钥 用户Nacos服务向公网开放后,因鉴权配置不当或弱口令问题被攻击者入侵获取AK/SK,利用AK创建具备管理员权限的RAM账号; 第二步:窃取数据 使用新创建的RAM账号登录控制台,访问数据库并导出重要数据,然后释放数据库实例、删除快照、对ECS进行
一、风险概览 近期,阿里云应急响应中心监测到多起因用户AccessKey被盗引发的数据泄漏和勒索事件。攻击者通过用户配置不当的Nacos应用获取云账号AccessKey(简称AK)和SecretKey(简称SK),利用其高权限特性窃取核心业务数据并强制释放云实例,进而实施勒索。 二、攻击分析 第一步:获取密钥 用户Nacos服务向公网开放后,因鉴权配置不当或弱口令问题被攻击者入侵获取AK/SK,利用AK创建具备管理员权限的RAM账号; 第二步:窃取数据 使用新创建的RAM账号登录控制台,访问数据库并导出重要数据,然后释放数据库实例、删除快照、对ECS进行一、风险概览 近期,阿里云应急响应中心监测到多起因用户AccessKey被盗引发的数据泄漏和勒索事件。攻击者通过用户配置不当的Nacos应用获取云账号AccessKey(简称AK)和SecretKey(简称SK),利用其高权限特性窃取核心业务数据并强制释放云实例,进而实施勒索。 二、攻击分析 第一步:获取密钥 用户Nacos服务向公网开放后,因鉴权配置不当或弱口令问题被攻击者入侵获取AK/SK,利用AK创建具备管理员权限的RAM账号; 第二步:窃取数据 使用新创建的RAM账号登录控制台,访问数据库并导出重要数据,然后释放数据库实例、删除快照、对ECS进行扩展字段
{ "bulletin_type": "security", "bulletin_type_detail": "risk_notice", "ext_info": { "delistLink": "", "processInstanceId": "94f2a88b-693a-408c-a146-09473ccbb600", "processUrl": "https://bpms.alibaba-inc.com/workdesk/instDetailLegao?__id=inist_detail&procInsId=94f2a88b-693a-408c-a146-09473ccbb600", "publishType": "manual", "refundUrl": "", "secondaryChangeTypeLabel": "/风险通告" }, "impact_time": "[]", "impact_time_type": "not-set", "language": "zh", "product_code": "", "product_info": "", "status": "published" }