CNNVD最新漏洞

今日CNNVD共发布安全漏洞48个,更新安全漏洞2个。主要影响厂商为美国Google(22个)、美国IBM(6个)、美国Linux(4个),主要影响产品为Android 开源操作系统(16个)、IBM Sterling B2B Integrator集成软件(4个)、Linux kernel内核(4个)。

今日需关注的典型漏洞如下:

【漏洞名称】Android NVIDIA mediaserver 权限许可和访问控制漏洞

【漏洞编号】CNNVD-201712-156(CVE-2017-6276)

【漏洞详情】Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。NVIDIA mediaserver是使用在其中的一个多媒体服务器组件。

Android中的NVIDIA mediaserver存在提权漏洞,该漏洞源于不正确的边界检测。本地攻击者可利用该漏洞执行代码并可能提升权限。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://source.android.com/security/bulletin/2017-12-01

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201712-156

【漏洞名称】IBM Sterling B2B Integrator 信息泄露漏洞

【漏洞编号】CNNVD-201712-100(CVE-2017-1481)

【漏洞详情】IBM Sterling B2B Integrator是美国IBM公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。

IBM Sterling B2B Integrator 5.2版本中存在信息泄露漏洞。远程攻击者可利用该漏洞查看敏感信息。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

http://www-01.ibm.com/support/docview.wss?uid=swg22010761

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201712-100

【漏洞名称】Linux kernel 安全漏洞

【漏洞详情】Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。

Linux kernel中存在安全漏洞。攻击者可利用该漏洞造成拒绝服务。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://www.kernel.org/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201712-102

【漏洞名称】WordPress WP Mailster插件跨站脚本漏洞

【漏洞编号】CNNVD-201712-149(CVE-2017-17451)

【漏洞详情】WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。WP Mailster plugin是使用在其中的一个电子邮件插件。

WordPress WP Mailster插件1.5.5之前的版本中的unsubscribe handler存在跨站脚本漏洞。远程攻击者可通过向view/subscription/unsubscribe2.php文件发送‘mes’参数利用该漏洞在浏览器中执行脚本代码。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://wordpress.org/plugins/wp-mailster/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201712-149

【漏洞名称】SWFTools 缓冲区错误漏洞

【漏洞详情】SWFTools是一个用于处理Adobe Flash文件(SWF文件)的实用程序工具集。

SWFTools中的‘swf_GetBits()’函数存在缓冲区溢出漏洞。远程攻击者可利用该漏洞造成拒绝服务(地址访问异常)。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/matthiaskramm/swftools/issues/21

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201712-203

新增漏洞信息如下表所示:

国家信息安全漏洞库(CNNVD)将每天发布最新漏洞信息,更多内容请登录官方网站:

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag

本文来自企鹅号 - CNNVD安全动态媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

用鱼竿、鱼钩、鱼饵和彩蛋模拟一次网络渗透

*本文原创作者:flagellantX,本文属FreeBuf原创奖励计划,未经许可禁止转载

1205
来自专栏FreeBuf

“白象”APT组织近期动态

“白象”又名“Patchwork”,“摩诃草”,疑似来自南亚某国,自2012年以来持续针对中国、巴基斯坦等国进行网络攻击,长期窃取目标国家的科研、军事资料。与其...

1604
来自专栏数据和云

DBA生存警示:防范频发的数据误删除操作

编辑手记:对于资深的老DBA们,他们在漫长的职业生涯中养成了很多稀奇古怪的守则,以在复杂多变的环境中“幸存”,这源于无数血泪的教训,我曾经在《数据安全警示录》...

36914
来自专栏腾讯技术工程官方号的专栏

你不知道的Android SDK安全测试

image.png 作者介绍:anglia,2014年加入腾讯TEG,一直致力于信鸽和MTA两款产品的移动终端 引言 作为Android手机用户中的一枚残粉...

2305
来自专栏喔家ArchiSelf

IoT固/软件更新及开源选项

物联网的迅速发展涌现了数十亿与互联网连接的无线嵌入式设备。 从医疗设备到坦克传感器, 智能恒温器, 智能路灯, 水监视器等等, 物联网比以往任何时候都应用广泛。

1082
来自专栏阮一峰的网络日志

DDOS 攻击的防范教程

3933
来自专栏禹都一只猫博客

Zabbix:企业微信报警配置

3828
来自专栏FreeBuf

APT攻击演练之捕鱼人的构想

两个环节:beef-xss钓鱼环节(建议使用服务器)、Nday钓鱼环节(很好用)、钓鱼框架环节(便携好用)

984
来自专栏游戏杂谈

PhoneGap Build的使用

      纯粹属于闲折腾的结果,只是这中间还遇到一些问题,记录一下。因为没有IOS的开发key,所以这里只发布成功Android系统的安装程序。之前写过一篇构...

1463
来自专栏FreeBuf

更适合作为主系统使用的Parrot Security简介

Parrot 是一个基于Debian的专注于渗透测试和隐私保护的Linux发行版,但是更加方便日常使用,有贴心的使用体验,丰富的工具,更注重隐私保护。 The...

6365

扫码关注云+社区