专栏首页安恒信息安全漏洞公告

安全漏洞公告

1 Xen 'HVMOP_set_mem_type'操作远程拒绝服务漏

Xen 'HVMOP_set_mem_type'操作远程拒绝服务漏

发布时间:

2014-05-08

漏洞编号:

BUGTRAQ ID: 67113CVE ID: CVE-2014-3124

漏洞描述:

Xen是一个开源虚拟机监视器,由剑桥大学开发。Xen 4.1-4.4.x版本的HVMOP_set_mem_type控件在实现上存在安全漏洞,本地客户端HVM管理员利用另外一个qemu-dm漏洞触发未指定内存页类型的无效页面表转换,然后利用此漏洞可造成拒绝服务或执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://xenbits.xen.org/xsa/xsa92.patchhttp://xenbits.xen.org/xsa/xsa92-4.1.patchhttp://xenbits.xen.org/xsa/xsa92-4.2.patchhttp://xenbits.xen.org/xsa/advisory-92.html

2 Nagios Remote Plugin Executor (NRPE) nrpe.c不完整黑名单漏洞

Nagios Remote Plugin Executor (NRPE) nrpe.c不完整黑名单漏洞

发布时间:

2014-05-07

漏洞编号:

CVE ID: CVE-2014-2913

漏洞描述:

Nagios是开源计算机系统监控、网络监控和架构监控软件。Nagios Remote Plugin Executor (NRPE) 2.15及之前版本的nrpe.c存在不完整黑名单漏洞,这可使远程攻击者通过libexec/check_nrpe的-a选项中的新行字符,利用此漏洞执行任意命令。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.nagios.org/参考:http://lists.opensuse.org/opensuse-updates/2014-05/msg00014.htmlhttp://lists.opensuse.org/opensuse-updates/2014-05/msg00005.htmlhttp://seclists.org/fulldisclosure/2014/Apr/242

3 Apache CXF远程拒绝服务漏洞

Apache CXF远程拒绝服务漏洞

发布时间:

2014-05-06

漏洞编号:

BUGTRAQ ID: 67232CVE ID: CVE-2014-0110

漏洞描述:

Apache CXF是一个开源服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。Apache CXF 2.6.14之前版本及2.7.11版本处理或解析SOAP消息时出错,这可使服务器读取剩余数据,并保存到临时文件内,通过动态创建数据,攻击者可造成整个/tmp目录占满,导致拒绝服务。

安全建议:

Apache Group已经为此发布了一个安全公告(CVE-2014-0109)以及相应补丁:CVE-2014-0109:HTML content posted to SOAP endpoint could cause OOM errors链接:http://cxf.apache.org/security-advisories.data/CVE-2014-0109.txt.asc补丁下载:https://git-wip-us.apache.org/repos/asf?p=cxf.git;a=commit;h=f8ed98e684c1a67a77ae8726db05a04a4978a445

4 Apache Struts 'CookieInterceptor'安全限制绕过漏洞

Apache Struts 'CookieInterceptor'安全限制绕过漏洞

发布时间:

2014-05-06

漏洞编号:

BUGTRAQ ID: 67218CVE ID: CVE-2014-0116

漏洞描述:

Apache Struts是用于构建Web应用的开放源码架构。Apache Struts 2.0.0-2.3.16.2版本没有正确限制对"class"参数的访问权,该参数通过CookieInterceptor直接映射到 "getClass()"方法。当"*"用来配置cookiesName参数时,攻击者可利用此漏洞篡改应用服务器使用的ClassLoader,然后更 改会话或请求的状态。该漏洞源于对CVE-2014-0113的不完整修复。

安全建议:

Apache Group已经为此发布了一个安全公告(s2-022)以及相应补丁:s2-022:s2-022链接:http://struts.apache.org/release/2.3.x/docs/s2-022.html补丁下载:http://struts.apache.org/download.cgi#struts23163

5 Citrix NetScaler Gateway跨站脚本漏洞

Citrix NetScaler Gateway跨站脚本漏洞

发布时间:

2014-05-06

漏洞编号:

BUGTRAQ ID: 67177CVE(CAN) ID: CVE-2014-1899

漏洞描述:

Citrix Access Gateway是一款通用的SSL V**设备。Citrix NetScaler Gateway 10.1.123.9、9.3.66.5之前版本在实现上存在跨站脚本漏洞,远程攻击者可利用此漏洞在受影响站点上下文中执行任意代码。

安全建议:

Citrix已经为此发布了一个安全公告(CTX140291)以及相应补丁:CTX140291:Cross-Site Scripting Vulnerability in Citrix NetScaler Gateway, formerly Citrix Access Gateway Enterprise Edition链接:https://support.citrix.com/article/CTX140291补丁下载:https://www.citrix.com/downloads/netscaler-gateway/product-software.html

----------------------------

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-05-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全漏洞公告

    1.Microsoft Windows内核'Win32k.sys'本地权限提升漏洞 Microsoft Windows内核'Win32k.sys'本地权限提...

    安恒信息
  • 微软警告Windows XP用户:若不升级永遭zero day攻击

    据国外《微电脑世界》(PCWorld)杂志网站报道,一直以来,微软都在不停地提醒、劝导和请求用户,在明年该公司对Windows XP的支持结束之前...

    安恒信息
  • 安全漏洞公告

    1 PHP FPM 'php-fpm.conf.in'本地权限提升漏洞 PHP FPM 'php-fpm.conf.in'本地权限提升漏洞发布时间:2014-0...

    安恒信息
  • day5(面向对象2)

    java.Awt: Abstract Window ToolKit (抽象窗口 工具包),需要调用本地系统方法实现功能。属 重量级控件。 javax.Swing...

    小二三不乌
  • Spring Boot 与 Kotlin 使用MongoDB数据库

    下面就来简单介绍一下 MongoDB,并且通过一个例子来介绍 SpringBoot中对 MongoDB访问的配置和使用。

    全科
  • 大话JMter(一),带你了解JMeter的基础用法

    在jmeter中设置端口,你可以打开 HTTP(S) Test Script Recorder:比如设定 Port = 8088与此同时,你也可以指定录制保存到...

    霍格沃兹测试学院
  • SSM 三大框架整合

    一枝花算不算浪漫
  • Android6.0源码分析之View(二)--measure

    紧接着来学习view的measure,(注,开始写博客之后,很明显我的学习效率高多了,研究了俩星期硬是没有研究view的measure,接下来终于可以来好好研究...

    fanfan
  • Android6.0源码分析之View(二)--measure Android6.0源码分析之View(一)

    接着上一篇 Android6.0源码分析之View(一) 紧接着来学习view的measure,(注,开始写博客之后,很明显我的学习效率高多了,研究了俩星期硬是...

    fanfan
  • 联系上下文,自行划重点!这只“高情商”AI能读懂对话语境,让客服问答丝般顺滑

    作为顾客,此时你大概要叹一句“人工智能真不智能”。这些所谓“智能”客服们往往只能做到一问一答,一旦对话涉及稍微复杂的情境,它们就开始答非所问。

    大数据文摘

扫码关注云+社区

领取腾讯云代金券