安全漏洞公告
1 Apache Struts ParametersInterceptor任意代码执行漏洞
Apache Struts ParametersInterceptor任意代码执行漏洞 | |
|---|---|
发布时间: | 2014-06-25 |
漏洞编号: | CVE ID: CVE-2014-0112 |
漏洞描述: | Struts是用于构建Web应用的开放源码架构。Apache Struts 2.3.16.2之前版本ParametersInterceptor没有正确限制访问getClass方法,这可使远程攻击者篡改ClassLoader并执行任意代码。该漏洞是由于对CVE-2014-0094修补不完整而导致。 |
安全建议: | Apache Group已经为此发布了一个安全公告(s2-021)以及相应补丁:s2-021:ClassLoader manipulation链接:http://struts.apache.org/release/2.3.x/docs/s2-021.html |
2 JBoss Seam远程代码执行漏洞
JBoss Seam远程代码执行漏洞 | |
|---|---|
发布时间: | 2014-06-25 |
漏洞编号: | BUGTRAQ ID: 68174CVE ID: CVE-2014-0248 |
漏洞描述: | JBoss Seam是一个Java EE5框架,把JSF与EJB3.0组件合并在一起,从而为开发基于Web的企业应用程序提供一个最新的模式。JBoss Seam在AuthenticationFilter的日志记录实现上存在安全漏洞,成功利用后可使攻击者在受影响应用上下文中执行任意代码。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.jboss.org/ |
3 IBM Security Access Manager远程代码执行漏洞
IBM Security Access Manager远程代码执行漏洞 | |
|---|---|
发布时间: | 2014-06-25 |
漏洞编号: | BUGTRAQ ID: 68137CVE ID: CVE-2014-3073 |
漏洞描述: | IBM Security Access Manager 软件是高度可扩展的用户认证、授权和Web SSO解决方案。IBM Security Access Manager (ISAM) for Mobile 8.0、IBM Security Access Manager for Web 7.0、8.0版本存在安全漏洞,可使远程攻击者执行任意代码。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/http://xforce.iss.net/xforce/xfdb/93790http://www-01.ibm.com/support/docview.wss?uid=swg1IV61563http://www-01.ibm.com/support/docview.wss?uid=swg21676699 |
4 多个华为产品'eSap'平台远程堆缓冲区溢出漏洞
多个华为产品'eSap'平台远程堆缓冲区溢出漏洞 | |
|---|---|
发布时间: | 2014-06-23 |
漏洞编号: | BUGTRAQ ID: 68130 |
漏洞描述: | 华为技术有限公司是一家总部位于中国广东省深圳市的生产销售电信设备的员工持股的民营科技公司,于1987年由任正非创建于中国深圳,是全球最大的电信网络解决方案提供商,全球第二大电信基站设备供应商。多个华为产品在实现上存在多个堆缓冲区溢出漏洞,攻击者可利用这些漏洞造成拒绝服务。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://support.huawei.com/enterprise/ |
5 Symantec Data Insight Management Console跨站脚本漏洞
Symantec Data Insight Management Console跨站脚本漏洞 | |
|---|---|
发布时间: | 2014-06-25 |
漏洞编号: | BUGTRAQ ID: 68160CVE(CAN) ID: CVE-2014-3432 |
漏洞描述: | Symantec Data Insight是企业数据管理解决方案。Symantec Data Insight 4.5之前版本没有正确验证或过滤管理控制台上某些表格的字段值,在实现上存在跨站脚本执行漏洞,未经身份验证的攻击者可诱使经过身份验证的用户单击恶意 链接或在受影响字段注入恶意脚本利用此漏洞,成功利用后可造成任意html脚本执行。 |
安全建议: | Symantec已经为此发布了一个安全公告(SYM14-012)以及相应补丁:SYM14-012:Security Advisories Relating to Symantec Products - Symantec Data Insight Management Console HTML Injection and Cross-Site Scripting链接:http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=secu补丁下载:https://symantec.flexnetoperations.com/ |
6 Symantec Data Insight Management Console HTML注入漏洞
Symantec Data Insight Management Console HTML注入漏洞 | |
|---|---|
发布时间: | 2014-06-25 |
漏洞编号: | BUGTRAQ ID: 68161CVE ID: CVE-2014-3433 |
漏洞描述: | Symantec Data Insight是企业数据管理解决方案。Symantec Data Insight 4.5之前版本没有正确验证或过滤管理控制台上某些表格的字段值,在实现上存在HTML注入漏洞,未经身份验证的攻击者可诱使经过身份验证的用户单击恶意链接或在受影响字段注入恶意脚本,成功利用此漏洞后可造成任意html脚本执行。 |
安全建议: | Symantec已经为此发布了一个安全公告(SYM14-012)以及相应补丁:SYM14-012:Security Advisories Relating to Symantec Products - Symantec Data Insight Management Console HTML Injection and Cross-Site Scripting链接:http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=secu补丁下载:https://symantec.flexnetoperations.com/ |
------------------------------