专栏首页安恒信息安全漏洞公告

安全漏洞公告

1 Microsoft XML Core Services信息泄露漏洞

Microsoft XML Core Services信息泄露漏洞

发布时间:

2014-06-11

漏洞编号:

BUGTRAQ ID: 67895CVE ID: CVE-2014-1816

漏洞描述:

Microsoft XML Core Services (MSXML)是一组服务,可用JScript、VBScript、Microsoft开发工具编写的应用构建基于XML的Windows-native应用。Microsoft Windows解析XML内容时存在信息泄露漏洞,可使攻击者未授权访问敏感信息。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-033)以及相应补丁:MS14-033:Vulnerability in Microsoft XML Core Services Could Allow Information Disclosure (2966061)链接:http://technet.microsoft.com/security/bulletin/MS14-033

2 Microsoft Windows远程桌面协议安全限制绕过漏洞

Microsoft Windows远程桌面协议安全限制绕过漏洞

发布时间:

2014-06-11

漏洞编号:

BUGTRAQ ID: 67865CVE ID: CVE-2014-0296

漏洞描述:

Windows是一款由美国微软公司开发的窗口化操作系统。Microsoft Windows远程桌面协议内使用的加密方案存在错误,远程攻击者通过中间人攻击,利用此漏洞可获取并篡改活动远程桌面会话内的信息。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-030)以及相应补丁:MS14-030:Vulnerability in Remote Desktop Could Allow Tampering (2969259)链接:http://technet.microsoft.com/security/bulletin/MS14-030

3 Microsoft Windows TCP/IP协议远程拒绝服务漏洞

Microsoft Windows TCP/IP协议远程拒绝服务漏洞

发布时间:

2014-06-11

漏洞编号:

BUGTRAQ ID: 67888CVE ID: CVE-2014-1811

漏洞描述:

Windows是一款由美国微软公司开发的窗口化操作系统。Microsoft Windows在TCP/IP网络协议的实现上存在拒绝服务漏洞,成功利用此漏洞可造成受影响系统停止响应。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-031)以及相应补丁:MS14-031:Vulnerability in TCP Protocol Could Allow Denial of Service (2962478)链接:http://technet.microsoft.com/security/bulletin/MS14-031

4 Microsoft Lync Server信息泄露漏洞

Microsoft Lync Server信息泄露漏洞

发布时间:

2014-06-11

漏洞编号:

BUGTRAQ ID: 67893CVE ID: CVE-2014-1823

漏洞描述:

Microsoft Lync 新一代企业整合沟通平台(前身为 Communications Server),提供了一种全新的、直观的用户体验,跨越 PC、Web、手机等其他移动设备,将不同的沟通方式集成到一个平台之中。Lync Server过滤精心构造的内容失败后存在信息泄露漏洞,成功利用此漏洞可造成在用户浏览器内执行脚本以获取Web会话的信息。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-032)以及相应补丁:MS14-032:Vulnerability in Microsoft Lync Server Could Allow Information Disclosure (2969258)链接:http://technet.microsoft.com/security/bulletin/MS14-032

5 PHP acinclude.m4任意文件覆盖漏洞

PHP acinclude.m4任意文件覆盖漏洞

发布时间:

2014-06-05

漏洞编号:

CVE ID: CVE-2014-3981

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP 5.5.13及更早版本的配置脚本中使用的acinclude.m4存在安全漏洞,可使本地用户对 /tmp/phpglibccheck文件执行符号链接攻击,从而覆盖任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://bugs.php.net/bug.php?id=67390http://git.php.net/?p=php-src.git;a=commit;h=91bcadd85e20e50d3f8c2e9721327681640e6f16https://bugzilla.redhat.com/show_bug.cgi?id=1104978

6 OpenSSL SSL/TLS 中间人漏洞

OpenSSL SSL/TLS 中间人漏洞

发布时间:

2014-06-06

漏洞编号:

BUGTRAQ ID: 67899CVE ID: CVE-2014-0224

漏洞描述:

OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。OpenSSL部分版本没有正确处理ChangeCipherSpec消息,攻击者能够用使用一个精心构造的握手数据包迫使OpenSSL/TLS 客户端和服务端使用弱密钥通讯。攻击者通过中间人攻击来利用这个漏洞,将能够解密并修改被攻击的client和server之间的通讯,从而获取敏感信息。执行这个攻击需要client和server都存在漏洞。所有版本的OpenSSL客户端都是存在漏洞的,而服务端只有OpenSSL 1.0.1和1.0.2-beta1受影响。另为预防起见,建议还在使用版本小于1.0.1 OpenSSL 服务端的用户升级。OpenSSL 0.9.8 SSL/TLS 用户(客户端和/或服务器端) 应升级到 0.9.8za.OpenSSL 1.0.0 SSL/TLS 用户(客户端和/或服务器端) 应升级到 1.0.0m.OpenSSL 1.0.1 SSL/TLS 用户(客户端和/或服务器端) 应升级到 1.0.1h.

安全建议:

OpenSSL Project已经为此发布了一个安全公告(secadv_20140605)以及相应补丁:secadv_20140605:SSL/TLS MITM vulnerability (CVE-2014-0224)链接:http://www.openssl.org/news/secadv_20140605.txt

------------------------------

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-06-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全漏洞公告

    1 OpenSSL TLS心跳扩展协议包远程信息泄露漏洞 OpenSSL TLS心跳扩展协议包远程信息泄露漏洞发布时间:2014-04-07漏洞编号:CVE(C...

    安恒信息
  • 安全漏洞公告

    1 Apache HTTP Server多个拒绝服务漏洞 Apache HTTP Server多个拒绝服务漏洞发布时间:2014-03-20漏洞编号:BUG...

    安恒信息
  • 安恒信息加入《中国互联网协会漏洞信息披露和处置自律公约》

      【安恒信息 6月19日消息】为了规范漏洞信息披露和处置工作,在工业和信息化部网络安全管理局的指导下,中国互联网协会网络与信息安全工作委员会以行业自律的形式,...

    安恒信息
  • 安全漏洞公告

    1 OpenSSL TLS心跳扩展协议包远程信息泄露漏洞 OpenSSL TLS心跳扩展协议包远程信息泄露漏洞发布时间:2014-04-07漏洞编号:CVE(C...

    安恒信息
  • Bash漏洞再次演进:缓冲区溢出导致远程任意命令执行

    近几天,“Shellshock”Bash漏洞的出现可谓是给安全界投放了一颗重型炸弹,越来越多的厂商和黑白帽子都纷纷加入到分析阵营当中,同时也接二连三爆出了更多针...

    FB客服
  • macOS 0-day漏洞详情披露,可被利用完全接管系统

    2017 年 12 月 31 日,一名推特账号为 Siguza 的安全研究人员公布了 macOS 0-day 漏洞的详情。该漏洞是一个本地提权漏洞,影响到所有 ...

    FB客服
  • 安全漏洞公告

    1.Microsoft Windows内核'Win32k.sys'本地权限提升漏洞 Microsoft Windows内核'Win32k.sys'本地权限提...

    安恒信息
  • 安全漏洞公告

    1 PHP FPM 'php-fpm.conf.in'本地权限提升漏洞 PHP FPM 'php-fpm.conf.in'本地权限提升漏洞发布时间:2014-0...

    安恒信息
  • h5高仿微信web网页版|仿微信聊天项目

    https://blog.csdn.net/xiaoyan_2015/article/details/81750894

    andy2018
  • 支付宝小程序弹窗插件开发|仿微信/android/ios弹窗效果

    支付宝小程序弹窗交互组件和微信小程序弹窗功能都差不多,对功能有比较多的限制,尤其想要实现丰富一些的弹窗场景就只能自己写组件实现了。

    andy2018

扫码关注云+社区

领取腾讯云代金券