安全漏洞公告
1 Triangle MicroWorks SCADA Data Gateway TLS/DTLS信息泄露漏洞
Triangle MicroWorks SCADA Data Gateway TLS/DTLS信息泄露漏洞 | |
|---|---|
发布时间: | 2014-06-05 |
漏洞编号: | |
漏洞描述: | SCADA Data Gateway是系统集成商和公共事业事业的Windows应用,可收集OPC, IEC 60870-6 (TASE.2/ICCP), IEC 61850, IEC 60870-5, DNP3, Modbus Server/Slave设备上的数据,然后将这些数据传输给支持OPC, IEC 60870-6 (TASE.2/ICCP) Client, IEC 60870-5, DNP3, Modbus Client/Master通讯协议的其他控制系统。SCADA Data Gateway由于捆绑了有心脏滴血漏洞的OpenSSL(CVE-2014-0160),在实现上存在信息泄露漏洞,恶意用户可利用此漏洞获取敏感信息。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.trianglemicroworks.com/products/scada-data-gateway/what%27s-new |
2 SCADA Data Gateway IP连接设备远程拒绝服务漏洞
SCADA Data Gateway IP连接设备远程拒绝服务漏洞 | |
|---|---|
发布时间: | 2014-06-05 |
漏洞编号: | BUGTRAQ ID: 67722CVE(CAN) ID: CVE-2014-2342 |
漏洞描述: | SCADA Data Gateway是系统集成商和公共事业事业的Windows应用,可收集OPC, IEC 60870-6 (TASE.2/ICCP), IEC 61850, IEC 60870-5, DNP3, Modbus Server/Slave设备上的数据,然后将这些数据传输给支持OPC, IEC 60870-6 (TASE.2/ICCP) Client, IEC 60870-5, DNP3, Modbus Client/Master通讯协议的其他控制系统。SCADA Data Gateway 3.00.0635之前版本处理特制的DNP3数据包时存在安全漏洞,可使远程攻击者造成拒绝服务(过量数据处理)。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.trianglemicroworks.com/products/scada-data-gatewayhttp://www.trianglemicroworks.com/products/scada-data-gateway/what%27s-new参考:http://ics-cert.us-cert.gov/advisories/ICSA-14-149-01 |
3 SCADA Data Gateway串联设备本地拒绝服务漏洞
SCADA Data Gateway串联设备本地拒绝服务漏洞 | |
|---|---|
发布时间: | 2014-06-05 |
漏洞编号: | BUGTRAQ ID: 67723CVE(CAN) ID: CVE-2014-2343 |
漏洞描述: | SCADA Data Gateway是系统集成商和公共事业事业的Windows应用,可收集OPC, IEC 60870-6 (TASE.2/ICCP), IEC 61850, IEC 60870-5, DNP3, Modbus Server/Slave设备上的数据,然后将这些数据传输给支持OPC, IEC 60870-6 (TASE.2/ICCP) Client, IEC 60870-5, DNP3, Modbus Client/Master通讯协议的其他控制系统。SCADA Data Gateway 3.00.0635之前版本处理串行线上特制的DNP请求时存在安全漏洞,可使物理位置接近的攻击者造成拒绝服务(过量数据处理)。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.trianglemicroworks.com/products/scada-data-gatewayhttp://www.trianglemicroworks.com/products/scada-data-gateway/what%27s-new参考:http://ics-cert.us-cert.gov/advisories/ICSA-14-149-01 |
4 多个F-Secure产品任意文件访问漏洞
多个F-Secure产品任意文件访问漏洞 | |
|---|---|
发布时间: | 2014-06-05 |
漏洞编号: | BUGTRAQ ID: 67821 |
漏洞描述: | F-Secure,原名Data Fellows,是欧洲著名信息安全厂商,总部位于芬兰首都赫尔辛基。多个F-Secure产品的Online Safety及Browsing Protection功能在实现上存在安全漏洞,可导致攻击者可以读取用户文件系统内的任意文件。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.f-secure.com/en/web/labs_global/fsc-2014-5 |
5 App::Context签名验证安全措施绕过漏洞
App::Context签名验证安全措施绕过漏洞 | |
|---|---|
发布时间: | 2014-06-05 |
漏洞编号: | BUGTRAQ ID: 59832CVE(CAN) ID: CVE-2012-6141 |
漏洞描述: | App::Context是Web应用、命令行程序、服务器程序的应用框架。App::Context 0.01-0.968版本没有正确使用Storable::thaw函数,这可使远程攻击者通过向 App::Session::Cookie或App::Session::HTMLHidden传递精心构造的请求,利用此漏洞执行任意代码。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://search.cpan.org/~spadkins/App-Context-0.968/lib/App/Context.pm |
6 Serv-U多个安全漏洞
Serv-U多个安全漏洞 | |
|---|---|
发布时间: | 2014-06-04 |
漏洞编号: | |
漏洞描述: | Serv-U是一种使用广泛的FTP服务器程序。Serv-U 15.1.0.458之前版本没有验证用户名称时会返回不同的响应,这可导致枚举有效的用户名称,某些用户输入没有正确过滤即返回给用户,这可导致在用户浏览器会话中执行任意HTML和脚本代码。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.serv-u.com/releasenotes/ |
7 PHP 'cdf_read_property_info()'函数拒绝服务漏洞
PHP 'cdf_read_property_info()'函数拒绝服务漏洞 | |
|---|---|
发布时间: | 2014-06-03 |
漏洞编号: | BUGTRAQ ID: 67765CVE(CAN) ID: CVE-2014-0238 |
漏洞描述: | PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP 5.4.29之前版本、5.5.13之前版本,Fileinfo组件中,cdf.c内的cdf_read_property_info函数存在拒绝服务漏洞,远程攻击者通过零长度或超长的矢量造成拒绝服务(无限循环或越界内存访问)。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/ChangeLog-5.phphttps://github.com/file/file/commit/b8acc83781d5a24cc5101e525d15efe0482c280dhttps://bugs.php.net/bug.php?id=67328 |
------------------------------
腾讯云开发者
