安全漏洞公告
1 多个IBM产品SQL注入漏洞
多个IBM产品SQL注入漏洞 | |
|---|---|
发布时间: | 2014-05-28 |
漏洞编号: | BUGTRAQ ID: 67641CVE(CAN) ID: CVE-2013-4016 |
漏洞描述: | IBM 是全球信息产业领导企业。多个IBM产品存在SQL注入漏洞,远程经过身份验证的攻击者可利用此漏洞通过带纯文本WHERE字句的Birt报告,利用此漏洞执行任意SQL命令。受 影响产品如下:IBM Maximo Asset Management 7.x、SmartCloud Control Desk 7.x、Tivoli IT Asset Management for IT, Tivoli Service Request Manager, Maximo Service Desk, 、Change and Configuration Management Database (CCMDB) 7.x |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/http://www-01.ibm.com/support/docview.wss?uid=swg1IV46511http://www-01.ibm.com/support/docview.wss?uid=swg21670870http://xforce.iss.net/xforce/xfdb/88364 |
2 多个IBM产品任意文件上传漏洞
多个IBM产品任意文件上传漏洞 | |
|---|---|
发布时间: | 2014-05-28 |
漏洞编号: | BUGTRAQ ID: 67646CVE(CAN) ID: CVE-2013-5465 |
漏洞描述: | IBM 是全球信息产业领导企业。多个IBM产品没有正确限制上传的文件类型,存在任意文件上传漏洞,远程经过身份验证的攻击者可利用此漏洞上传任意文件。受影响产品如下:IBM Maximo Asset Management 7.x、SmartCloud Control Desk 7.x、Tivoli IT Asset Management for IT、Tivoli Service Request Manager、Maximo Service Desk、Change and Configuration Management Database (CCMDB) 7.x |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/http://www-01.ibm.com/support/docview.wss?uid=swg1IV46511http://www-01.ibm.com/support/docview.wss?uid=swg21670870http://xforce.iss.net/xforce/xfdb/88364 |
3 Apache 'mod_wsgi' 模块本地权限提升漏洞
Apache 'mod_wsgi' 模块本地权限提升漏洞 | |
|---|---|
发布时间: | 2014-05-28 |
漏洞编号: | BUGTRAQ ID: 67645CVE(CAN) ID: CVE-2013-5460 |
漏洞描述: | IBM 是全球信息产业领导企业。多个IBM产品存在安全措施绕过漏洞,远程经过身份验证的攻击者可利用此漏洞绕过目标访问限制,读取通讯日志。受影响产品如下:IBM Maximo Asset Management 7.x、SmartCloud Control Desk 7.x |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/http://www-01.ibm.com/support/docview.wss?uid=swg1IV46511http://www-01.ibm.com/support/docview.wss?uid=swg21670870http://xforce.iss.net/xforce/xfdb/88364 |
4 IBM DB2及DB2 Connect权限提升漏洞
IBM DB2及DB2 Connect权限提升漏洞 | |
|---|---|
发布时间: | 2014-05-28 |
漏洞编号: | BUGTRAQ ID: 67616CVE(CAN) ID: CVE-2013-6744 |
漏洞描述: | IBM DB2是一个大型的商业关系数据库系统。DB2 Connect可将PC和移动设备连接到组织的大型机。IBM DB2及DB2 Connect存在权限提升漏洞,成功利用此漏洞可使攻击者以提升的权限获取DB2实例。受影响产品如下:IBM DB2 Express EditionIBM DB2 Workgroup Server EditionIBM DB2 Enterprise Server EditionIBM DB2 Connect Application Server EditionIBM DB2 Connect Application Server Advanced EditionIBM DB2 Connect Enterprise EditionIBM DB2 Connect Unlimited Edition for System iIBM DB2 Connect Unlimited Edition for System zIBM DB2 Connect Unlimited Advanced Edition for System zIBM DB2 10.1 pureScale FeatureIBM DB2 10.5 Advanced Enterprise Server EditionIBM DB2 10.5 Advanced Workgroup Server EditionIBM DB2 10.5 Developer Edition for Linux, Unix, Windows |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/ |
5 Apache 'mod_wsgi' 模块本地权限提升漏洞
Apache 'mod_wsgi' 模块本地权限提升漏洞 | |
|---|---|
发布时间: | 2014-05-28 |
漏洞编号: | BUGTRAQ ID: 67532CVE(CAN) ID: CVE-2014-0240 |
漏洞描述: | mod_wsgi是Apache HTTP服务器模块,提供了WSGI兼容接口,用于托管基于Python 2.3+的Web应用。mod_wsgi 3.5之前版本在启用了后台模式后,在某些Linux内核上运行时没有正确处理setuid返回的错误代码,这可使本地用户通过运行进程数相关的方法,利用此漏洞获取提升的权限。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://modwsgi.readthedocs.org/en/latest/release-notes/version-3.5.html |
---------------------------