安全漏洞公告
1 Microsoft XML Core Services信息泄露漏洞
Microsoft XML Core Services信息泄露漏洞 | |
|---|---|
发布时间: | 2014-06-11 |
漏洞编号: | BUGTRAQ ID: 67895CVE ID: CVE-2014-1816 |
漏洞描述: | Microsoft XML Core Services (MSXML)是一组服务,可用JScript、VBScript、Microsoft开发工具编写的应用构建基于XML的Windows-native应用。Microsoft Windows解析XML内容时存在信息泄露漏洞,可使攻击者未授权访问敏感信息。 |
安全建议: | Microsoft已经为此发布了一个安全公告(MS14-033)以及相应补丁:MS14-033:Vulnerability in Microsoft XML Core Services Could Allow Information Disclosure (2966061)链接:http://technet.microsoft.com/security/bulletin/MS14-033 |
2 Microsoft Windows远程桌面协议安全限制绕过漏洞
Microsoft Windows远程桌面协议安全限制绕过漏洞 | |
|---|---|
发布时间: | 2014-06-11 |
漏洞编号: | BUGTRAQ ID: 67865CVE ID: CVE-2014-0296 |
漏洞描述: | Windows是一款由美国微软公司开发的窗口化操作系统。Microsoft Windows远程桌面协议内使用的加密方案存在错误,远程攻击者通过中间人攻击,利用此漏洞可获取并篡改活动远程桌面会话内的信息。 |
安全建议: | Microsoft已经为此发布了一个安全公告(MS14-030)以及相应补丁:MS14-030:Vulnerability in Remote Desktop Could Allow Tampering (2969259)链接:http://technet.microsoft.com/security/bulletin/MS14-030 |
3 Microsoft Windows TCP/IP协议远程拒绝服务漏洞
Microsoft Windows TCP/IP协议远程拒绝服务漏洞 | |
|---|---|
发布时间: | 2014-06-11 |
漏洞编号: | BUGTRAQ ID: 67888CVE ID: CVE-2014-1811 |
漏洞描述: | Windows是一款由美国微软公司开发的窗口化操作系统。Microsoft Windows在TCP/IP网络协议的实现上存在拒绝服务漏洞,成功利用此漏洞可造成受影响系统停止响应。 |
安全建议: | Microsoft已经为此发布了一个安全公告(MS14-031)以及相应补丁:MS14-031:Vulnerability in TCP Protocol Could Allow Denial of Service (2962478)链接:http://technet.microsoft.com/security/bulletin/MS14-031 |
4 Microsoft Lync Server信息泄露漏洞
Microsoft Lync Server信息泄露漏洞 | |
|---|---|
发布时间: | 2014-06-11 |
漏洞编号: | BUGTRAQ ID: 67893CVE ID: CVE-2014-1823 |
漏洞描述: | Microsoft Lync 新一代企业整合沟通平台(前身为 Communications Server),提供了一种全新的、直观的用户体验,跨越 PC、Web、手机等其他移动设备,将不同的沟通方式集成到一个平台之中。Lync Server过滤精心构造的内容失败后存在信息泄露漏洞,成功利用此漏洞可造成在用户浏览器内执行脚本以获取Web会话的信息。 |
安全建议: | Microsoft已经为此发布了一个安全公告(MS14-032)以及相应补丁:MS14-032:Vulnerability in Microsoft Lync Server Could Allow Information Disclosure (2969258)链接:http://technet.microsoft.com/security/bulletin/MS14-032 |
5 PHP acinclude.m4任意文件覆盖漏洞
PHP acinclude.m4任意文件覆盖漏洞 | |
|---|---|
发布时间: | 2014-06-05 |
漏洞编号: | CVE ID: CVE-2014-3981 |
漏洞描述: | PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP 5.5.13及更早版本的配置脚本中使用的acinclude.m4存在安全漏洞,可使本地用户对 /tmp/phpglibccheck文件执行符号链接攻击,从而覆盖任意文件。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://bugs.php.net/bug.php?id=67390http://git.php.net/?p=php-src.git;a=commit;h=91bcadd85e20e50d3f8c2e9721327681640e6f16https://bugzilla.redhat.com/show_bug.cgi?id=1104978 |
6 OpenSSL SSL/TLS 中间人漏洞
OpenSSL SSL/TLS 中间人漏洞 | |
|---|---|
发布时间: | 2014-06-06 |
漏洞编号: | BUGTRAQ ID: 67899CVE ID: CVE-2014-0224 |
漏洞描述: | OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。OpenSSL部分版本没有正确处理ChangeCipherSpec消息,攻击者能够用使用一个精心构造的握手数据包迫使OpenSSL/TLS 客户端和服务端使用弱密钥通讯。攻击者通过中间人攻击来利用这个漏洞,将能够解密并修改被攻击的client和server之间的通讯,从而获取敏感信息。执行这个攻击需要client和server都存在漏洞。所有版本的OpenSSL客户端都是存在漏洞的,而服务端只有OpenSSL 1.0.1和1.0.2-beta1受影响。另为预防起见,建议还在使用版本小于1.0.1 OpenSSL 服务端的用户升级。OpenSSL 0.9.8 SSL/TLS 用户(客户端和/或服务器端) 应升级到 0.9.8za.OpenSSL 1.0.0 SSL/TLS 用户(客户端和/或服务器端) 应升级到 1.0.0m.OpenSSL 1.0.1 SSL/TLS 用户(客户端和/或服务器端) 应升级到 1.0.1h. |
安全建议: | OpenSSL Project已经为此发布了一个安全公告(secadv_20140605)以及相应补丁:secadv_20140605:SSL/TLS MITM vulnerability (CVE-2014-0224)链接:http://www.openssl.org/news/secadv_20140605.txt |
------------------------------