安全漏洞公告

WordPress '/wp-admin/options-discussion.php'脚本跨站请求伪造漏洞

WordPress '/wp-admin/options-discussion.php'脚本跨站请求伪造漏洞

发布时间:

2014-01-03

漏洞编号:

BUGTRAQ ID:64564CVE ID:CVE-2013-7233

漏洞描述:

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。 WordPress存在跨站请求伪造漏洞。允许远程攻击者劫持administrars评论的请求的身份验证。

安全建议:

目前没有详细解决方案提供:http://wordpress.org/

Huawei eSight任意文件上传漏洞

Huawei eSight任意文件上传漏洞

发布时间:

2014-01-03

漏洞号:

BUGTRAQ ID: 64633

漏洞描述:

华为eSight ICT运维系统是华为公司研制的新一代面向企业基础网络、统一通信、智真会议、视频监控和数据中心的整体运维管理解决方案。 Huawei eSight V200R003C00版本可使攻击者上传任意文件,并且没有正确验证上传到受影响系统的设备图形,这可被攻击者利用,造成信息泄露、服务中断、挂起等。

安全建议:

Huawei已经为此发布了一个安全公告(hw-323611)以及相应补丁:hw-323611:Vulnerability in Image Upload of User-defined Devices to Huawei eSight System链接:http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-323611.htm

HuaweiCloudEngine系列路由器多个安全限制绕过漏洞

Huawei CloudEngine系列路由器多个安全限制绕过漏洞

发布时间:

2014-01-03

漏洞号:

BUGTRAQ ID: 64634

漏洞描述:

CloudEngine系列是华为公司面向下一代数据中心和高端园区推出的“云”级高性能交换机。 Huawei CloudEngine系列交换机的HWTACACS模块在实现上存在多个安全限制绕过漏洞。若攻击者拥有低权限的用户名称和密码并能够登录受影响设备,则可以利用这些漏洞绕过服务器身份验证检查,提升用户权限并执行任意命令。

安全建议:

Huawei已经为此发布了一个安全公告(hw-323610)以及相应补丁:hw-323610:A Vulnerability on the HWTACACS Authorization Module of the CloudEngine链接:http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-323610.htm

ApacheLibcloud Digital Ocean API本地信息泄露漏洞

Apache Libcloud Digital Ocean API本地信息泄露漏洞

发布时间:

2014-01-03

漏洞号:

BUGTRAQ ID: 64617 CVE(CAN) ID: CVE-2013-6480

漏洞描述:

libcloud 是用Python开发的访问云计算服务的统一接口。 Apache Libcloud 0.12.3-0.13.2版本销毁DigitalOcean节点时,没有发送scrub_data query参数,这可使本地攻击者利用此漏洞获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://libcloud.apache.org/security.html https://digitalocean.com/blog_posts/transparency-regarding-data-security

Cisco NX-OS特制BGP更新消息处理远程拒绝服务漏洞

Cisco NX-OS特制BGP更新消息处理远程拒绝服务漏洞

发布时间:

2014-01-08

漏洞号:

BUGTRAQ ID: 64670CVE ID:CVE-2013-6982

漏洞描述:

Cisco Nexus系列交换机是数据中心级交换机。采用Cisco Nexus OS操作系统。 Cisco NX-OS在处理BGP更新消息时BGP实现存在安全漏洞,允许未验证远程攻击者使设备上所有BGP会话重置。攻击者通过提交构建特定的BGP标记更新消息可触发该漏洞,可使配置了VPNv4, VPNv6, or 标记了单播地址族的IPv6的Cisco NX-OS设备上所有BGP会话重置。

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息: http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6982

========================================

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2014-01-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

正确姿势:如何调戏蹭网者

这篇文章本来是知乎回答的一个问题,但是由于本人五行缺勤奋,所以一直没写(其实是忘了=。=),下面是我的一个实验,如何通过squid调戏那些蹭网的人。没什么技术含...

26780
来自专栏Timhbw博客

【iOS秘籍】-下载历史版本App超详细教程

2016-12-0200:47:37 发表评论 5,804℃热度 1.软件准备 2.正式开始 3.安装旧版本App 4.总结 目录 有些时候我们需要下...

46970
来自专栏Android群英传

Siri 帮我开灯

12920

构建高可扩展的纯IPv6云主机

本文介绍了如何在商用服务器之间使用纯IPv6通信构建新的高度可扩展的云托管解决方案,我们面临的IPv6协议有哪些问题,以及我们如何解决这些问题以处理超过1000...

71380
来自专栏生信宝典

测序数据可视化 (二)- IGV

IGV是本地浏览测序数据功能最为强大的基因组浏览器,支持多种不同类型的输入格式和不同的显示方式,如峰图、线图、柱状图、Sashimi-plot。同时还可以配合b...

50270
来自专栏hotqin888的专栏

电子规范管理系统(2)

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/hotqin888/article/det...

18210
来自专栏数据和云

Oracle Database 12.2新特性详解

在2015年旧金山的Oracle OpenWorld大会上,Oracle发布了Database 12.2的Beta版本,虽然Beta版本只对部分用户开放,但是大...

42560
来自专栏非著名程序员

基于开源项目搭建属于自己的技术堆栈

? 在技术面试的时候肯定都会问到使用了哪些第三方框架,为什么使用它而不用其他的。身边朋友就有这样的亲身经历: 面试官:你们项目中加载图片都是用的什么框架? 面...

27470
来自专栏小文博客

百度云破限速(安卓+Windows)

10.5K30
来自专栏FreeBuf

跨平台版中国菜刀Cknife发布

Burp已经成了绿帽子门必不可少的工具,相信大家都装有Java环境,本软件支持1.7+以及所有安装了环境的系统。1.6后续会考虑兼容。 一直都有想写一款真正...

76770

扫码关注云+社区

领取腾讯云代金券