专栏首页安恒信息安全漏洞公告

安全漏洞公告

1 Apache Struts2 CVE-2014-0094(S2-020)漏洞修补绕过漏洞

Apache Struts2 CVE-2014-0094(S2-020)漏洞修补绕过漏洞

发布时间:

2014-04-22

漏洞编号:

漏洞描述:

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。Apache Struts versions 2.0.0- 2.3.16版本中存在安全漏洞,修复CVE-2014-0094漏洞的修补方案中仍然存在缺陷,可被黑客绕过。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://httpd.apache.org/

2 Django django.core.urlresolvers.reverse函数远程代码执行漏洞

Django django.core.urlresolvers.reverse函数远程代码执行漏洞

发布时间:

2014-04-24

漏洞编号:

CVE(CAN) ID: CVE-2014-0472

漏洞描述:

Django是Python编程语言驱动的一个开源Web应用程序框架。Django 1.4.11, 1.5.6, 1.6.3, 1.7 beta 2之前版本在django.core.urlresolvers.reverse函数的实现上存在安全漏洞,远程攻击者通过用用户输入和加点Python 路径,利用此漏洞导入和执行任意Python模块。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.djangoproject.com/ https://www.djangoproject.com/weblog/2014/apr/21/security/

3 Apache Archiva HTML注入漏洞

Apache Archiva HTML注入漏洞

发布时间:

2014-04-22

漏洞编号:

BUGTRAQ ID: 66991 CVE(CAN) ID: CVE-2013-2187

漏洞描述:

Archiva是一个管理一个和多个远程存储的软件。它能够与Maven,Continuum和ANT等构建工具完美结合。Archiva 1.3 - 1.3.6版本在处理特制请求时存在HTML注入漏洞,攻击者通过包含了特制参数的请求,可利用此漏洞将任意HTML或JS代码注入到Archiva主页。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://httpd.apache.org/ http://archiva.apache.org/security.html

4 HP Universal Configuration Management Database远程代码执行漏洞

HP Universal Configuration Management Database远程代码执行漏洞

发布时间:

2014-04-18

漏洞编号:

BUGTRAQ ID: 66963 CVE(CAN) ID: CVE-2013-6215

漏洞描述:

HP Universal Configuration Management Database是业务服务管理并基于ITIL 计划的配置管理数据库。HP Universal Configuration Management Database 9.05, 10.01, 10.10版本在实现上存在远程代码执行漏洞,远程攻击者可利用此漏洞执行任意代码。

安全建议:

HP已经为此发布了一个安全公告(HPSBMU02988)以及相应补丁:HPSBMU02988:HP Universal Configuration Management Database, Disclosure of Information链接:https://h20564.www2.hp.com/portal/site/hpsc/public/kb/ docDisplay?docId=emr_na-c04220407补丁下载:https://hpln.hp.com/node/11274/contentfiles

5 HP LoadRunner Virtual User Generator远程代码执行漏洞

HP LoadRunner Virtual User Generator远程代码执行漏洞

发布时间:

2014-04-18

漏洞编号:

BUGTRAQ ID: 66961 CVE(CAN) ID: CVE-2013-6213

漏洞描述:

HP LoadRunner可在部署新的系统或升级之前检测性能瓶颈,以防范应用的性能问题。HP LoadRunner 11.52.1之前版本在实现是存在远程代码执行漏洞,攻击者可利用此漏洞在受影响应用上下文中执行任意代码。

安全建议:

HP已经为此发布了一个安全公告(HPSBMU02935)以及相应补丁:HPSBMU02935:HP LoadRunner Virtual User Generator, Remote Code Execution链接:http://alerts.hp.com/r?2.1.3KT.2ZR.xdUfW.JqqYsc..T.db8O.8AdM.bW89MQ%5f%5fDQBKFTe0补丁下载:http://support.openview.hp.com/selfsolve/document/KM00731150

---------------------------------------

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-04-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全漏洞公告

    Dell OpenManage Server Administrator 'file'参数开放重定向漏洞 Dell OpenManage Server Admi...

    安恒信息
  • 安全漏洞公告

    1 Apache HTTP Server多个拒绝服务漏洞 Apache HTTP Server多个拒绝服务漏洞发布时间:2014-03-20漏洞编号:BUG...

    安恒信息
  • 安全漏洞公告

    WordPress '/wp-admin/options-discussion.php'脚本跨站请求伪造漏洞 WordPress '/wp-admin/opt...

    安恒信息
  • 安全漏洞公告

    1 Apache HTTP Server多个拒绝服务漏洞 Apache HTTP Server多个拒绝服务漏洞发布时间:2014-03-20漏洞编号:BUG...

    安恒信息
  • 安全漏洞公告

    1 OpenSSL TLS心跳扩展协议包远程信息泄露漏洞 OpenSSL TLS心跳扩展协议包远程信息泄露漏洞发布时间:2014-04-07漏洞编号:CVE(C...

    安恒信息
  • 3个月挖到55个漏洞,这伙白帽获苹果超330万元的赏金

    近日,一名安全研究者表示,苹果公司的企业网络在过去几个月一直面临严重的安全威胁,处于受到黑客攻击的危险中。黑客有可能窃取了其数百万用户的敏感数据,并在他们的手机...

    深度学习与Python
  • Linux内核曝严重蓝牙漏洞,影响多个版本

    谷歌安全研究人员在Linux Kernel中发现了一组蓝牙漏洞(BleedingTooth),该漏洞可能允许攻击者进行零点击攻击,运行任意代码或访问敏感信息。

    FB客服
  • 干货 | Intel CPU漏洞分析与安恒信息产品影响解读

    综述 近日,Intel CPU中曝出Meltdown(熔断)和Spectre(幽灵)两大新型漏洞,包括Intel、AMD、ARM等主流CPU在内,几乎...

    安恒信息
  • 一个有意思的漏洞组合场景

    实现一个业务功能,也有着很多不同的实现方式,当业务逻辑考虑不严谨的时候,同一个业务功能模块存在着很多漏洞场景,如密码重置漏洞、商城支付漏洞等。

    Bypass
  • 谷歌公开尚未修复的 Windows 提权漏洞,专家建议小心应对!

    Google 公开了一个尚未发布补丁的 splwow64 组件漏洞 CVE-2020-17008,当 32 位进程尝试连接 x64 系统下的打印机时,splwo...

    GitHubDaily

扫码关注云+社区

领取腾讯云代金券