前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >安全漏洞公告

安全漏洞公告

作者头像
安恒信息
发布2018-04-10 13:47:28
1.1K0
发布2018-04-10 13:47:28
举报
文章被收录于专栏:安恒信息

1 Apache Tomcat XML外部实体信息泄露漏洞

Apache Tomcat XML外部实体信息泄露漏洞

发布时间:

2014-02-26

漏洞编号:

BUGTRAQ ID: 65768CVE ID: CVE-2013-4590

漏洞描述:

Apache Tomcat是一个流行的开源JSP应用服务器程序。 Tomcat 8.0.0-RC1 - 8.0.0-RC5、7.0.0 - 7.0.47、6.0.0 - 6.0.37版本的XML(例如:web.xml, context.xml, *.tld, *.tagx, *.jspx)文件允许XXE,这可使攻击者获取Tomcat内部敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://jakarta.apache.org/tomcat/index.html [1] http://tomcat.apache.org/security-8.html [2] http://tomcat.apache.org/security-7.html [3] http://tomcat.apache.org/security-6.html

2 Apache Tomcat会话固定漏洞

Apache Tomcat会话固定漏洞

发布时间:

2014-02-26

漏洞号:

BUGTRAQ ID: 65769CVE ID: CVE-2014-0033

漏洞描述:

Apache Tomcat是一个流行的开源JSP应用服务器程序。 Tomcat 6.0.33 - 6.0.37版本在disableURLRewriting的实现上存在会话固定漏洞,攻击者可利用此漏洞劫持任意会话,获取未授权受影响应用的访问权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://jakarta.apache.org/tomcat/index.html

3 Apache Tomcat 安全限制绕过漏洞

Apache Tomcat 安全限制绕过漏洞

发布时间:

2014-02-26

漏洞号:

BUGTRAQ ID: 65773CVE ID: CVE-2013-4286

漏洞描述:

Apache Tomcat是一个流行的开源JSP应用服务器程序。 Tomcat 8.0.0-RC1 - 8.0.0-RC5、7.0.0 - 7.0.47、6.0.0 - 6.0.37版本存在漏洞CVE-2005-2090修复不完整问题,远程攻击者可利用此漏洞对Web缓存投毒、逃避IDS签名、启动跨站脚本、HTML注入、会话劫持攻击等。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://jakarta.apache.org/tomcat/index.html [1] http://tomcat.apache.org/security-8.html [2] http://tomcat.apache.org/security-7.html [3] http://tomcat.apache.org/security-6.html

4 JBoss RichFaces 'PushHandlerFilter.java'远程拒绝服务漏洞

JBoss RichFaces 'PushHandlerFilter.java'远程拒绝服务漏洞

发布时间:

2014-02-25

漏洞号:

BUGTRAQ ID: 65738CVE ID: CVE-2014-1266

漏洞描述:

JBoss RichFaces是一个具有Ajax和JSF特性的Web框架。 RichFaces没有正确过滤某些请求,未经身份验证的远程攻击者通过发送大量的畸形请求到使用Atmosphere框架的RichFaces应用,利用此漏洞导致应用服务器拒绝服务(大量的内存消耗)。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.jboss.org/

5 PostgreSQL远程栈缓冲区溢出漏洞

PostgreSQL远程栈缓冲区溢出漏洞

发布时间:

2014-02-25

漏洞号:

BUGTRAQ ID: 65731CVE ID: CVE-2014-0065

漏洞描述:

PostgreSQL是一款高级对象-关系型数据库管理系统,支持扩展的SQL标准子集。 PostgreSQL 9.3.3, 9.2.7, 9.1.12, 9.0.16, 8.4.20之前版本存在多个缓冲区溢出漏洞,经过身份验证的数据库用户可利用这些漏洞使PostgreSQL服务器崩溃或执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.postgresql.org

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2014-02-28,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 安恒信息 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 1 Apache Tomcat XML外部实体信息泄露漏洞
  • 2 Apache Tomcat会话固定漏洞
  • 3 Apache Tomcat 安全限制绕过漏洞
  • 4 JBoss RichFaces 'PushHandlerFilter.java'远程拒绝服务漏洞
  • 5 PostgreSQL远程栈缓冲区溢出漏洞
相关产品与服务
多因子身份认证
多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档