安全漏洞公告

发布时间：

2014-01-13

漏洞编号：

BUGTRAQ ID:64749CVE ID:CVE-2013-6321

漏洞描述：

IBM多个产品未能正确过滤用户提交的输入，允许远程攻击者利用漏洞进行SQL注入攻击，可操作或获取数据库数据。 漏洞影响如下产品： IBM Atlas eDiscovery Process Management IBM Disposal and Governance Management for IT IBM Global Retention Policy and Schedule Management

安全建议：

用户可参考如下厂商提供的安全公告获得补丁信息： http://www.ibm.com/support/entdocview.wss?uid=swg21661403

发布时间：

2014-01-13

漏洞号：

BUGTRAQ ID: 64751CVE ID:CVE-2013-6334

漏洞描述：

IBM多个产品Compliance Questionnaire “Save Draft” servlet URL PolicyAtlas/ResponseDraftServlet由于未能充分会话校验，允许远程攻击者利用漏洞绕过访问控制未授权访问系统。 漏洞影响如下产品： IBM Atlas eDiscovery Process Management IBM Disposal and Governance Management for IT IBM Global Retention Policy and Schedule Management

安全建议：

用户可参考如下厂商提供的安全公告获得补丁信息： http://www.ibm.com/support/entdocview.wss?uid=swg21661403

发布时间：

2014-01-03

漏洞号：

CNVD-2014-00220

漏洞描述：

Foosun CMS是一款内容管理系统。 Foosun（风讯）CMS SQL注入漏洞存在于awardAction.asp 页面，该页面未对Integral参数的引入函数值进行过滤，导致攻击者可以利用漏洞以当前用户权限发起SQL注入攻击，攻击者可以修改任意表中的数据或 执行其他注入操作。

安全建议：

将\User\award\award\awardAction.asp中的： ntegral=NoSqlHack(request.QueryString("Integral")) 修改为： ntegral=CintStr(request.QueryString("Integral")) 即把integral 参数转化为整形，就能防止 SQL注入漏洞。

发布时间：

2014-01-14

漏洞号：

BUGTRAQ ID: 64801 CVE ID: CVE-2014-0591

漏洞描述：

BIND是一个应用非常广泛的DNS协议的实现。 ISC BIND处理对NSEC3签名域的请求时出现错误，这可使恶意用户利用特制的查询，造成INSIST失败类崩溃。成功利用需要主域名服务器至少服务一个NSEC3签名的域。

安全建议：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://www.isc.org/downloads https://kb.isc.org/article/AA-01078/74/

发布时间：

2014-01-15

漏洞号：

CVE ID: CVE-2014-0657

漏洞描述：

Cisco Unified Communications Manager是企业级IP电话呼叫处理系统。 Cisco Unified Communications Manager 9.1(1)及之前版本在处理角色权限时出现错误，这可导致未授权情况下访问受限制的管理入口区。

安全建议：

Cisco已经为此发布了一个安全公告（CVE-2014-0657）以及相应补丁: CVE-2014-0657：Cisco Unified Communications Manager Role Bypass Vulnerability 链接：http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-0657