安全漏洞公告

1 Apache Struts ParametersInterceptor任意代码执行漏洞

Apache Struts ParametersInterceptor任意代码执行漏洞

发布时间:

2014-06-25

漏洞编号:

CVE ID: CVE-2014-0112

漏洞描述:

Struts是用于构建Web应用的开放源码架构。Apache Struts 2.3.16.2之前版本ParametersInterceptor没有正确限制访问getClass方法,这可使远程攻击者篡改ClassLoader并执行任意代码。该漏洞是由于对CVE-2014-0094修补不完整而导致。

安全建议:

Apache Group已经为此发布了一个安全公告(s2-021)以及相应补丁:s2-021:ClassLoader manipulation链接:http://struts.apache.org/release/2.3.x/docs/s2-021.html

2 JBoss Seam远程代码执行漏洞

JBoss Seam远程代码执行漏洞

发布时间:

2014-06-25

漏洞编号:

BUGTRAQ ID: 68174CVE ID: CVE-2014-0248

漏洞描述:

JBoss Seam是一个Java EE5框架,把JSF与EJB3.0组件合并在一起,从而为开发基于Web的企业应用程序提供一个最新的模式。JBoss Seam在AuthenticationFilter的日志记录实现上存在安全漏洞,成功利用后可使攻击者在受影响应用上下文中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.jboss.org/

3 IBM Security Access Manager远程代码执行漏洞

IBM Security Access Manager远程代码执行漏洞

发布时间:

2014-06-25

漏洞编号:

BUGTRAQ ID: 68137CVE ID: CVE-2014-3073

漏洞描述:

IBM Security Access Manager 软件是高度可扩展的用户认证、授权和Web SSO解决方案。IBM Security Access Manager (ISAM) for Mobile 8.0、IBM Security Access Manager for Web 7.0、8.0版本存在安全漏洞,可使远程攻击者执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/http://xforce.iss.net/xforce/xfdb/93790http://www-01.ibm.com/support/docview.wss?uid=swg1IV61563http://www-01.ibm.com/support/docview.wss?uid=swg21676699

4 多个华为产品'eSap'平台远程堆缓冲区溢出漏洞

多个华为产品'eSap'平台远程堆缓冲区溢出漏洞

发布时间:

2014-06-23

漏洞编号:

BUGTRAQ ID: 68130

漏洞描述:

华为技术有限公司是一家总部位于中国广东省深圳市的生产销售电信设备的员工持股的民营科技公司,于1987年由任正非创建于中国深圳,是全球最大的电信网络解决方案提供商,全球第二大电信基站设备供应商。多个华为产品在实现上存在多个堆缓冲区溢出漏洞,攻击者可利用这些漏洞造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://support.huawei.com/enterprise/

5 Symantec Data Insight Management Console跨站脚本漏洞

Symantec Data Insight Management Console跨站脚本漏洞

发布时间:

2014-06-25

漏洞编号:

BUGTRAQ ID: 68160CVE(CAN) ID: CVE-2014-3432

漏洞描述:

Symantec Data Insight是企业数据管理解决方案。Symantec Data Insight 4.5之前版本没有正确验证或过滤管理控制台上某些表格的字段值,在实现上存在跨站脚本执行漏洞,未经身份验证的攻击者可诱使经过身份验证的用户单击恶意 链接或在受影响字段注入恶意脚本利用此漏洞,成功利用后可造成任意html脚本执行。

安全建议:

Symantec已经为此发布了一个安全公告(SYM14-012)以及相应补丁:SYM14-012:Security Advisories Relating to Symantec Products - Symantec Data Insight Management Console HTML Injection and Cross-Site Scripting链接:http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=secu补丁下载:https://symantec.flexnetoperations.com/

6 Symantec Data Insight Management Console HTML注入漏洞

Symantec Data Insight Management Console HTML注入漏洞

发布时间:

2014-06-25

漏洞编号:

BUGTRAQ ID: 68161CVE ID: CVE-2014-3433

漏洞描述:

Symantec Data Insight是企业数据管理解决方案。Symantec Data Insight 4.5之前版本没有正确验证或过滤管理控制台上某些表格的字段值,在实现上存在HTML注入漏洞,未经身份验证的攻击者可诱使经过身份验证的用户单击恶意链接或在受影响字段注入恶意脚本,成功利用此漏洞后可造成任意html脚本执行。

安全建议:

Symantec已经为此发布了一个安全公告(SYM14-012)以及相应补丁:SYM14-012:Security Advisories Relating to Symantec Products - Symantec Data Insight Management Console HTML Injection and Cross-Site Scripting链接:http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=secu补丁下载:https://symantec.flexnetoperations.com/

------------------------------

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2014-06-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

搭建dvwa环境学习从MySql注入到GetShell

是啊,在项目上的系统每周每个月经过几十遍的过滤,平时看到提交参数的地方也就sqlmap跑一跑,对于最基础的手工注入都没有扎实的学会,于是我决定要知道如何搭建环境...

20330
来自专栏MongoDB中文社区

9月.精华文章推荐

1.《GDPR: Impact to Your Data Management Landscape:Part 3 》

12920
来自专栏linux驱动个人学习

V4L2 driver -整体架构

熟悉v4l2用户空间编程的都知道, v4l2编程主要是调用一系列的ioctl函数去对v4l2设备进行打开, 关闭, 查询, 设置等操作. v4l2设备是一个字符...

1.1K30
来自专栏北京马哥教育

优化MySQL Slave延迟很大的方法

一般而言,slave相对master延迟较大,其根本原因就是slave上的复制线程没办法真正做到并发。简单说,在master上是并发模式(以InnoDB引擎为...

33280
来自专栏熊二哥

Linux快速入门01-基础概念

4年多前,刚到上海时报过一个关于Oracle的培训班,在那里接触到了Linux,不过一直都没真正去试着使用它。现在经过慢慢的成长,越来越觉得,Linux是每一个...

23550
来自专栏数据和云

备份,迁移和克隆Docker镜像

编辑手记:上周我们分享了在MAC上安装Docker并部署Oracle 12.2数据库环境,基于Docker构建测试环境,非常快速和简捷。只通过以下几个步骤即可快...

52840
来自专栏杨建荣的学习笔记

DBA和开发同事的一些代沟(五) (r7笔记第92天)

陆陆续续写了四篇和开发同事的代沟,从最开始的吐槽到后面的例行总结,整个过程也是总结经验,看似很小的问题对于DBA来说就是莫大的改进,或者在开发严重越不过去的坎儿...

411100
来自专栏北京马哥教育

服务器程序源代码分析之二:php-fpm

php作为排名top2 互联网开发工具,非常流行,可以参考:中国最大的25个网站采用技术选型方案 php这个名称实际上有两层含义 广义的php 是指用后缀名为....

38440
来自专栏Python中文社区

移植Python2.7到ARM-LINUX嵌入式平台

笔者长期在ARM-LINUX嵌入式平台使用C语言开发。硬件IO操作只能用C确实没办法,但是应用程序用C简直就苦逼了,程序复杂一点,各种越界、指针错误、诡异死机、...

76530
来自专栏Fundebug

Web应用架构入门之11个基本要素

译者: 读完这篇博客,你就可以回答一个经典的面试题:当你访问Google时,到底发生了什么?

14430

扫码关注云+社区

领取腾讯云代金券