安全漏洞公告
1 Check_MK 任意文件上传漏洞
Check_MK 任意文件上传漏洞 | |
|---|---|
发布时间: | 2014-03-26 |
漏洞编号: | BUGTRAQ ID: 66394CVE(CAN) ID: CVE-2014-2331 |
漏洞描述: | Check_MK是一款通用的Nagios/Icinga数据采集插件。Check_MK 1.2.2p2及其他版本在实现上存在任意文件上传漏洞,成功利用后可使远程攻击者向受影响系统上传任意文件。 |
安全建议: | 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://mathias-kettner.de |
2 PHP "gdImageCreateFromXpm()"空指针间接引用漏洞
PHP "gdImageCreateFromXpm()"空指针间接引用漏洞 | |
|---|---|
发布时间: | 2014-03-25 |
漏洞编号: | BUGTRAQ ID: 66380CVE(CAN) ID: CVE-2014-2570 |
漏洞描述: | php-font-lib是读取、解析、导出、制作各种字体文件子集的库。php-font-lib 0.3版本的Subset生成器存在反射型跨站脚本漏洞,这可使未经身份验证的远程攻击者通过name参数注入任意JS或HTML。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://github.com/PhenX/php-font-lib |
3 RARLAB WinRAR文件扩展名欺骗漏洞
RARLAB WinRAR文件扩展名欺骗漏洞 | |
|---|---|
发布时间: | 2014-03-23 |
漏洞编号: | BUGTRAQ ID: 66383 |
漏洞描述: | WinRAR是一款非常流行的压缩/解压工具。RARLAB WinRAR 4.20及其他版本在压缩文档的扩展名实现上存在安全漏洞,该漏洞可使攻击者执行欺骗攻击。 |
安全建议: | 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.rarlabs.com |
4 Zend Framework多个信息泄露和安全限制绕过漏洞
Zend Framework多个信息泄露和安全限制绕过漏洞 | |
|---|---|
发布时间: | 2014-03-24 |
漏洞编号: | BUGTRAQ ID: 66358 |
漏洞描述: | Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。Zend Framework 1.12.4之前版本在实现上存在多个安全漏洞,可被恶意利用绕过某些安全限制并泄露敏感信息或造成拒绝服务。1、在解析XML实体时出错,可导致本地文件泄露和拒绝服务。2、ZendOpenId及Zend_OpenId用户登录机制出错,可导致非法登录。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://framework.zend.com/security/advisory/http://framework.zend.com/security/advisory/ZF2014-01http://framework.zend.com/security/advisory/ZF2014-02 |
5 OpenSSH 'child_set_env()'函数安全限制绕过漏洞
OpenSSH 'child_set_env()'函数安全限制绕过漏洞 | |
|---|---|
发布时间: | 2014-03-21 |
漏洞编号: | BUGTRAQ ID: 66355CVE(CAN) ID: CVE-2014-2532 |
漏洞描述: | OpenSSH是SSH协议的开源实现。OpenSSH 6.6之前版本的sshd没有正确支持sshd_config中AcceptEnv上的通配符,这可使远程攻击者通过在通配符之前使用子串,利用此漏洞绕过目标环境限制。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.openssh.com/ http://marc.info/?l=openbsd-security-announce&m=139492048027313&w=2 |
=============================