安全漏洞公告

1.Cacti SQL及命令注入漏洞

发布时间：2013-08-06

漏洞描述：Cacti是一款轮循数据库（RRD）工具，可帮助从数据库信息创建图形，有多个Linux版本。 Cacti 0.8.8b对某些输入没有正确过滤即用在SQL查询和执行命令，可导致注入和执行任意SQL代码和shell命令。

安全建议：目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.cacti.net/download_cacti.php

2 OpenX 'flowplayer-3.1.1.min.js'后门漏洞

发布时间：2013-08-06

BUGTRAQ ID:

OpenX是用PHP编写的开源广告服务器。

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

3 Apache CloudStack多个跨站脚本漏洞

发布时间：2013-08-06

漏洞编号：BUGTRAQ ID: 61650

CVE(CAN) ID: CVE-2013-4211

漏洞描述：Apache CloudStack是部署和管理大型虚拟机网络的开源软件。 Apache CloudStack 4.0.0-incubating, 4.0.1-incubating 4.0.2, 4.1.0的用户界面允许经过身份验证的用户对系统内的其他用户执行跨站脚本攻击。

安全建议：目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://cloudstack.apache.org/docs/en-US/Apache_CloudStack/4.1.1/html/Release_Notes/index.html

4 多个思科产品远程安全限制绕过漏洞

发布时间：2013-08-01

漏洞编号：BUGTRAQ ID: 61566 CVE(CAN) ID: CVE-2013-0149

漏洞描述：思科（CiscoSystems,Inc.），是互联网解决方案的领先提供者，其设备和软件产品主要用于连接计算机网络系统。 多个思科产品存在安全漏洞，该漏洞相关OSPF LSA数据库。此漏洞可使未经身份验证的攻击者完全控制OSPF AS域路由表、黑洞流量、中间流量等。

安全建议：Cisco已经为此发布了一个安全公告（cisco-sa-20130801-lsaospf）以及相应补丁: cisco-sa-20130801-lsaospf：OSPF LSA Manipulation Vulnerability in Multiple Cisco Products 链接： http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130801-lsaospf

5 多个思科产品命令注入漏洞

发布时间：2013-07-31

漏洞编号：CVE(CAN) ID: CVE-2013-3444

漏洞描述：思科（CiscoSystems,Inc.），是互联网解决方案的领先提供者，其设备和软件产品主要用于连接计算机网络系统。 多个思科内容网络和视频传递产品漏洞在配置为中心管理模式中运行时，Web框架内存在安全漏洞。经过身份验证的远程攻击者虽然没有权限，但可以在受影响系统上、受影响系统管理的设备上执行任意代码。此漏洞源于没有正确过滤用户输入，然后就用设备的下层命令行接口执行操作。

安全建议：Cisco已经为此发布了一个安全公告（cisco-sa-20130731-cm）以及相应补丁: cisco-sa-20130731-cm：Authenticated Command Injection Vulnerability in Multiple Cisco Content Network and Video Delivery Products 链接： http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130731-cm