首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >安全漏洞公告

安全漏洞公告

作者头像
安恒信息
发布2018-04-10 14:46:40
1.4K0
发布2018-04-10 14:46:40
举报
文章被收录于专栏:安恒信息安恒信息

1 Xen 'HVMOP_set_mem_type'操作远程拒绝服务漏

Xen 'HVMOP_set_mem_type'操作远程拒绝服务漏

发布时间:

2014-05-08

漏洞编号:

BUGTRAQ ID: 67113CVE ID: CVE-2014-3124

漏洞描述:

Xen是一个开源虚拟机监视器,由剑桥大学开发。Xen 4.1-4.4.x版本的HVMOP_set_mem_type控件在实现上存在安全漏洞,本地客户端HVM管理员利用另外一个qemu-dm漏洞触发未指定内存页类型的无效页面表转换,然后利用此漏洞可造成拒绝服务或执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://xenbits.xen.org/xsa/xsa92.patchhttp://xenbits.xen.org/xsa/xsa92-4.1.patchhttp://xenbits.xen.org/xsa/xsa92-4.2.patchhttp://xenbits.xen.org/xsa/advisory-92.html

2 Nagios Remote Plugin Executor (NRPE) nrpe.c不完整黑名单漏洞

Nagios Remote Plugin Executor (NRPE) nrpe.c不完整黑名单漏洞

发布时间:

2014-05-07

漏洞编号:

CVE ID: CVE-2014-2913

漏洞描述:

Nagios是开源计算机系统监控、网络监控和架构监控软件。Nagios Remote Plugin Executor (NRPE) 2.15及之前版本的nrpe.c存在不完整黑名单漏洞,这可使远程攻击者通过libexec/check_nrpe的-a选项中的新行字符,利用此漏洞执行任意命令。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.nagios.org/参考:http://lists.opensuse.org/opensuse-updates/2014-05/msg00014.htmlhttp://lists.opensuse.org/opensuse-updates/2014-05/msg00005.htmlhttp://seclists.org/fulldisclosure/2014/Apr/242

3 Apache CXF远程拒绝服务漏洞

Apache CXF远程拒绝服务漏洞

发布时间:

2014-05-06

漏洞编号:

BUGTRAQ ID: 67232CVE ID: CVE-2014-0110

漏洞描述:

Apache CXF是一个开源服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。Apache CXF 2.6.14之前版本及2.7.11版本处理或解析SOAP消息时出错,这可使服务器读取剩余数据,并保存到临时文件内,通过动态创建数据,攻击者可造成整个/tmp目录占满,导致拒绝服务。

安全建议:

Apache Group已经为此发布了一个安全公告(CVE-2014-0109)以及相应补丁:CVE-2014-0109:HTML content posted to SOAP endpoint could cause OOM errors链接:http://cxf.apache.org/security-advisories.data/CVE-2014-0109.txt.asc补丁下载:https://git-wip-us.apache.org/repos/asf?p=cxf.git;a=commit;h=f8ed98e684c1a67a77ae8726db05a04a4978a445

4 Apache Struts 'CookieInterceptor'安全限制绕过漏洞

Apache Struts 'CookieInterceptor'安全限制绕过漏洞

发布时间:

2014-05-06

漏洞编号:

BUGTRAQ ID: 67218CVE ID: CVE-2014-0116

漏洞描述:

Apache Struts是用于构建Web应用的开放源码架构。Apache Struts 2.0.0-2.3.16.2版本没有正确限制对"class"参数的访问权,该参数通过CookieInterceptor直接映射到 "getClass()"方法。当"*"用来配置cookiesName参数时,攻击者可利用此漏洞篡改应用服务器使用的ClassLoader,然后更 改会话或请求的状态。该漏洞源于对CVE-2014-0113的不完整修复。

安全建议:

Apache Group已经为此发布了一个安全公告(s2-022)以及相应补丁:s2-022:s2-022链接:http://struts.apache.org/release/2.3.x/docs/s2-022.html补丁下载:http://struts.apache.org/download.cgi#struts23163

5 Citrix NetScaler Gateway跨站脚本漏洞

Citrix NetScaler Gateway跨站脚本漏洞

发布时间:

2014-05-06

漏洞编号:

BUGTRAQ ID: 67177CVE(CAN) ID: CVE-2014-1899

漏洞描述:

Citrix Access Gateway是一款通用的SSL V**设备。Citrix NetScaler Gateway 10.1.123.9、9.3.66.5之前版本在实现上存在跨站脚本漏洞,远程攻击者可利用此漏洞在受影响站点上下文中执行任意代码。

安全建议:

Citrix已经为此发布了一个安全公告(CTX140291)以及相应补丁:CTX140291:Cross-Site Scripting Vulnerability in Citrix NetScaler Gateway, formerly Citrix Access Gateway Enterprise Edition链接:https://support.citrix.com/article/CTX140291补丁下载:https://www.citrix.com/downloads/netscaler-gateway/product-software.html

----------------------------

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2014-05-12,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 安恒信息 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档