安全漏洞公告
Apache Roller OGNL表达式注入远程代码执行漏洞 | |
|---|---|
发布时间: | 2013-11-27 |
漏洞编号: | BUGTRAQ ID: 63928 CVE(CAN) ID: CVE-2013-4212 |
漏洞描述: | Apache Roller是适合于博客站点的多用户博客群服务器。 Apache Roller 5.0.2之前版本在实现上存在OGNL注入漏洞,因为使用ActionSupport.getText方法的方式不正确,所有UIAction控制器中存在OGNL注入,远程攻击者可利用此漏洞控制服务器端对象并在受影响应用中执行任意代码。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://httpd.apache.org/ |
Apache Solr 'SolrResourceLoader'目录遍历漏洞 | |
|---|---|
发布时间: | 2013-11-28 |
漏洞编号: | CVE ID: CVE-2013-6397 BUGTRAQ ID: 63935 |
漏洞描述: | Apache Solr是一个开源的搜索服务器。Solr使用Java语言开发,主要基于HTTP和ApacheLucene实现。 Apache Solr 'SolrResourceLoader'存在目录遍历漏洞。远程攻击者可以通过目录遍历字符('../')来访问包含敏感信息的任意文件来利用此漏洞。在某些情况下,攻击者还可以通过上传任意文件到受影响的服务器上执行任意代码。 |
安全建议: | 用户可联系供应商获得补丁信息: http://www.apache.org/ |
Apache Subversion mod_dontdothat路径匹配安全绕过漏洞 | |
|---|---|
发布时间: | 2013-11-28 |
漏洞编号: | BUGTRAQ ID: 63966 CVE ID: CVE-2013-4505 |
漏洞描述: | Apache Subversion是一款自由/开源版本控制系统。 Apache Subversion存在安全绕过漏洞。由于应用程序对配置的路径否认匹配时,未能正确地检查所提供的路径,攻击者可以利用漏洞来绕过预期的限制,例如:由于占用系统资源过多。 |
安全建议: | 用户可参考如下供应商提供的安全公告获得补丁信息: http://subversion.apache.org/security/CVE-2013-4505-advisory.txt |
JBoss Operations Network配置文件可读本地信息泄露漏洞 | |
|---|---|
发布时间: | 2013-11-28 |
漏洞编号: | BUGTRAQ ID: 63916 CVE ID: CVE-2013-4452 |
漏洞描述: | JBoss Operations Network是一款集成的中间件管理平台用以简化应用的生命周期中的开发、测试、部署和监控。 用于JBoss Operations Network服务器和客户端的配置文件默认全局可读,允许恶意本地用户读取文件内容获取敏感信息,如各种验证凭据。 |
安全建议: | 用户可参考如下厂商提供的安全公告获得补丁信息: https://rhn.redhat.com/errata/RHSA-2013-1762.html |
HP 2620交换机'html/json.html'跨站请求伪造漏洞 | |
|---|---|
发布时间: | 2013-11-25 |
漏洞编号: | BUGTRAQ ID: 63690 CVE ID: CVE-2013-6852 |
漏洞描述: | HP 2620 switches是惠普公司开发的交换机设备。 HP 2620 switches html/json.html存在一个跨站请求伪造漏洞,允许攻击者利用漏洞通过 setPassword方法,构建恶意URI,诱使用户解析,可以目标用户上下文执行恶意操作,如更改管理员密码等。 |
安全建议: | 目前没有详细解决方案提供: http://www.hp.com |
===========================